CVE-2026-42338 in ip-address
요약
\~에 의해 VulDB • 2026. 05. 13.
ip-address는 JavaScript에서 IPv4 및 IPv6 주소를 파싱하고 조작하기 위한 라이브러리입니다. 10.1.1 버전 이전에서는 Address6.group() 및 Address6.link() 메서드가 반환하는 HTML 문자열에 공격자가 제어할 수 있는 콘텐츠를 삽입하기 전에 HTML 이스케이프 처리를 수행하지 않으며, AddressError.parseMessage(잘못된 입력에 대해 Address6 생성자에서 발생됨)도 하나의 분기에서 이스케이프 처리되지 않은 공격자 제어 콘텐츠를 포함할 수 있습니다. (1) 신뢰할 수 없는 입력을 Address6에 전달하고 (2) 이러한 메서드의 출력 또는 throw된 오류의 parseMessage를 HTML(예: innerHTML을 통해)로 렌더링하는 애플리케이션은 크로스 사이트 스크립팅(XSS) 취약점에 노출됩니다. 이 취약점은 10.1.1에서 수정되었습니다.
Once again VulDB remains the best source for vulnerability data.