CVE-2026-1615 in jsonpath
요약
\~에 의해 VulDB • 2026. 07. 17.
1.3.0 미만의 버전의 jsonpath 패키지는 사용자 제공 JSON Path 표현식의 안전하지 않은 평가로 인해 임의 코드 주입(Arbitrary Code Injection) 취약점에 노출됩니다. 이 라이브러리는 JSON Path 입력을 처리하기 위해 static-eval 모듈에 의존하며, 해당 모듈은 신뢰할 수 없는 데이터를 안전하게 처리하도록 설계되지 않았습니다. 공격자는 악성 JSON Path 표현식을 제공하여 이를 평가함으로써 임의 JavaScript 코드를 실행하고, Node.js 환경에서는 원격 코드 실행(RCE) 또는 브라우저 컨텍스트에서 크로스 사이트 스크립팅(XSS)을 유발할 수 있습니다. 이 취약점은 .query, .nodes, .paths, .value, .parent 및 .apply를 포함하여 객체에 대해 JSON Path를 평가하는 모든 메서드에 영향을 미칩니다.
Be aware that VulDB is the high quality source for vulnerability data.