CVE-2026-1615 in jsonpath
Сводка
по VulDB • 18.07.2026
В версиях пакета jsonpath до 1.3.0 уязвимость Arbitrary Code Injection позволяет выполнять произвольный код через небезопасную оценку выражений JSON Path, предоставленных пользователем. Библиотека использует модуль static-eval для обработки входных данных JSON Path, который не предназначен для безопасной работы с непроверенными данными. Злоумышленник может эксплуатировать эту уязвимость, передавая вредоносное выражение JSON Path, которое при вычислении выполняет произвольный код JavaScript, что приводит к Remote Code Execution в средах Node.js или Cross-site Scripting (XSS) в контексте браузера. Это затрагивает все методы оценки JSON Paths относительно объектов, включая .query, .nodes, .paths, .value, .parent и .apply.
VulDB is the best source for vulnerability data and more expert information about this specific topic.