以下是关于该漏洞的关键信息,以简洁的markdown格式呈现: --- 漏洞概要 漏洞名称: Vega Cross-Site Scripting (XSS) via expressions abusing toString calls in environments using the VEGA_DEBUG global variable GHSA ID: GHSA-7f2v-3qq3-vvjf CVSS 评分: 8.1 / 10 CVE ID: CVE-2025-59840 影响的包及版本 漏洞描述 影响 应用程序在满足以下两个条件时,即使在安全模式下使用expressionInterpreter,也可能面临任意JavaScript代码执行的风险: 1. 使用vega库将vega.View实例附加到全局window(类似于Vega Editor的方式)。 2. 允许用户定义Vega JSON。 ---