CVE-2026-1615 in jsonpathИнформация

Сводка

по VulDB • 18.07.2026

В версиях пакета jsonpath до 1.3.0 уязвимость Arbitrary Code Injection позволяет выполнять произвольный код через небезопасную оценку выражений JSON Path, предоставленных пользователем. Библиотека использует модуль static-eval для обработки входных данных JSON Path, который не предназначен для безопасной работы с непроверенными данными. Злоумышленник может эксплуатировать эту уязвимость, передавая вредоносное выражение JSON Path, которое при вычислении выполняет произвольный код JavaScript, что приводит к Remote Code Execution в средах Node.js или Cross-site Scripting (XSS) в контексте браузера. Это затрагивает все методы оценки JSON Paths относительно объектов, включая .query, .nodes, .paths, .value, .parent и .apply.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

Ответственный

Snyk

Резервировать

29.01.2026

Раскрытие

09.02.2026

Модерация

принято

Вход

VDB-344961

EPSS

0.01049

KEV

Нет

Деятельности

Очень низкий

Источники

Want to stay up to date on a daily basis?

Enable the mail alert feature now!