CVE-2026-45249— Apache ECharts 折线图提示框渲染存在跨站脚本漏洞
Possible ATT&CK Techniques 1AI
T1189 · Drive-by CompromiseAffected Version Matrix 1
| ベンダー | プロダクト | Version Range | ステータス |
|---|---|---|---|
| Apache Software Foundation | Apache ECharts | < 6.1.0 | affected |
新しい脆弱性情報の通知を購読するログインして購読
I. CVE-2026-45249の基本情報
脆弱性情報
脆弱性についてご質問がありますか?Shenlongの分析が参考になるかご確認ください!
Shenlongの10の質問を表示 ↗ 高度な大規模言語モデル技術を使用していますが、出力には不正確または古い情報が含まれる可能性があります。Shenlongはデータの正確性を確保するよう努めていますが、実際の状況に基づいて検証・判断してください。
脆弱性タイトル
Apache ECharts: XSS in Lines series tooltip rendering
ソース: NVD (National Vulnerability Database)
脆弱性説明
A cross-site scripting (XSS) vulnerability exists in Apache ECharts in the Lines series tooltip rendering logic. This issue affects Apache ECharts: from before 6.1.0. In versions prior to 6.1.0, if both Lines series and tooltip are used, and no user-specified tooltip.formatter is provided, and series.data[i].name is specified, raw HTML string series.data[i].name can be rendered through innerHTML sink into tooltip content. Although tooltip is allowed to accept user-provided raw HTML via a custom tooltip.formatter, the built-in tooltip formatters conventionally perform HTML escaping automatically. This case breaks that convention and may unexpectedly lead to script execution when tooltips are displayed. Users are recommended to upgrade to version 6.1.0 if using the Lines series in this way, which fixes the issue.
ソース: NVD (National Vulnerability Database)
CVSS情報
N/A
ソース: NVD (National Vulnerability Database)
脆弱性タイプ
在Web页面生成时对输入的转义处理不恰当(跨站脚本)
ソース: NVD (National Vulnerability Database)
影響を受ける製品
| ベンダー | プロダクト | 影響を受けるバージョン | CPE | 購読 |
|---|---|---|---|---|
| Apache Software Foundation | Apache ECharts | 0 ~ 6.1.0 | - |
II. CVE-2026-45249の公開POC
| # | POC説明 | ソースリンク | Shenlongリンク |
|---|
AI生成POCプレミアム
公開POCは見つかりませんでした。
ログインしてAI POCを生成III. CVE-2026-45249のインテリジェンス情報
请登录查看更多情报信息。
CVE-2026-45249 补丁与修复 (1)
CVE-2026-45249 邮件列表归档 (1)
CVE-2026-45249 其他参考 (2)
Same Patch Batch · Apache Software Foundation · 2026-05-25 · 9 CVEs total
| CVE-2026-48589 | Apache Shiro: Jakarta EE open redirect via untrusted Referer in post-login redirect flow | |
| CVE-2026-44598 | Apache Shiro Jakarta EE module: Open redirect and SSRF (requires valid credentials) | |
| CVE-2026-43828 | Apache Shiro: Shiro's native session and rememberMe cookies do not have secure flag set by | |
| CVE-2026-43827 | Apache Shiro: Session fixation: new session is not created after login by default | |
| CVE-2026-42797 | Apache Syncope: JexlContextBuilder Information Disclosure | |
| CVE-2026-42782 | Apache Syncope: Post-auth RCE via Groovy static | |
| CVE-2026-46745 | Apache Airflow FAB provider: LDAP Filter Injection in FAB Auth Manager _search_ldap reacha | |
| CVE-2026-45361 | Apache Airflow Google provider: SSH host key verification disabled in ComputeEngineSSHHook |
IV. 関連脆弱性
同じベンダー: Apache Software Foundation
- CVE-2026-40564
Apache Flink Kubernetes Operator: Server-Side Request Forger - CVE-2026-48589
Apache Shiro: Jakarta EE open redirect via untrusted Referer - CVE-2026-44598
Apache Shiro Jakarta EE module: Open redirect and SSRF (requ - CVE-2026-43828
Apache Shiro: Shiro's native session and rememberMe cookies - CVE-2026-43827
Apache Shiro: Session fixation: new session is not created a
同じ弱点: CWE-79
- CVE-2026-42750
WordPress WPComplete plugin <= 2.9.5.4 - Cross Site Scriptin - CVE-2026-42754
WordPress Favicon plugin <= 1.3.46 - Cross Site Scripting (X - CVE-2026-42751
WordPress Booking Manager plugin <= 2.1.18 - Cross Site Scri - CVE-2026-42759
WordPress Affiliate Super Assistent plugin <= 1.10.1 - Cross - CVE-2026-42762
WordPress VikBooking Hotel Booking Engine & PMS plugin <= 1.
V. CVE-2026-45249へのコメント
まだコメントはありません