Zurück zur Liste

TeleJSON: DOM XSS via unsanitised constructor name in `new Function()` — CVE-2026-47099

GitHub · GitHub · CVE-2026-47099

ID
CVE-2026-47099
Datum
Aktualisiert
Activity
Quelle
GitHub
Vendor
GitHub
Risiko
low
CVSS
2.1

Zusammenfassung

## Summary telejson versions prior to 6.0.0 (released 2022) are vulnerable to DOM-based Cross-Site Scripting (XSS) through unsafe deserialisation. Attacker-controlled input from the `_constructor-name_` property in parsed JSON is passed directly to `new Function()` without sanitisation, allowing arbitrary JavaScript execution. ## Affected versions | Package | Affected | Fixed | |----------|-----------|----------| |…

Produkt

npm: telejson

Was tun?

Allgemeine, vorsichtige Schritte (bitte prüfe die offizielle Quelle für Details):

  • Prüfe Exponierung und plane Maßnahmen nach Risiko und Umfeld.
  • Identifiziere betroffene Produktversionen und prüfe, ob du betroffen bist.
  • Spiele Hersteller-Updates/Patches ein oder setze empfohlene Mitigations um.
  • Lies das offizielle Advisory für betroffene Versionen und konkrete Schritte.

Offizielles Advisory

Mehr dazu

GitHub GitHub 2026-W21