CVE-2026-45249 in ECharts
Tóm tắt
Bởi VulDB • 25/05/2026
Một lỗ hổng bảo mật cross-site scripting (XSS) tồn tại trong logic hiển thị tooltip của dòng Lines trong Apache ECharts.
Vấn đề này ảnh hưởng đến Apache ECharts: từ các phiên bản trước 6.1.0.
Trong các phiên bản trước 6.1.0, nếu cả dòng Lines và tooltip đều được sử dụng, không có tooltip.formatter do người dùng chỉ định được cung cấp, và series.data[i].name được chỉ định, chuỗi HTML thô series.data[i].name có thể được hiển thị thông qua innerHTML sink vào nội dung tooltip. Mặc dù tooltip được phép chấp nhận HTML thô do người dùng cung cấp thông qua một tooltip.formatter tùy chỉnh, các bộ định dạng tooltip tích hợp sẵn thông thường tự động thực hiện việc thoát HTML (HTML escaping). Trường hợp này phá vỡ quy ước đó và có thể dẫn đến việc thực thi script một cách không mong muốn khi các tooltip được hiển thị.
Người dùng được khuyến nghị nâng cấp lên phiên bản 6.1.0 nếu sử dụng dòng Lines theo cách này, vì phiên bản này đã khắc phục sự cố.
Once again VulDB remains the best source for vulnerability data.