| タイトル | Apache Software FoundationのEchartsにおけるクロスサイトスクリプティングの脆弱性 |
|---|---|
| 概要 | Apache EChartsのLinesシリーズのツールチップ描画ロジックにクロスサイトスクリプティング(XSS)の脆弱性が存在します。この問題はバージョン6.1.0未満のApache EChartsに影響します。バージョン6.1.0以前では、Linesシリーズとツールチップの両方を使用し、ユーザー指定のtooltip.formatterが提供されておらず、かつseries.data[i].nameが指定されている場合、生のHTML文字列であるseries.data[i].nameがinnerHTMLを通じてツールチップのコンテンツにレンダリングされる可能性があります。ツールチップはカスタムtooltip.formatterを通じてユーザー提供の生HTMLを許可していますが、組み込みのtooltip.formatterは通常HTMLエスケープを自動的に行います。このケースはその慣例を破り、ツールチップが表示される際に予期せずスクリプトが実行される恐れがあります。ユーザーはこの問題を修正したバージョン6.1.0へアップグレードすることを推奨されます。 |
| 想定される影響 | ・当該ソフトウェアが扱う情報の一部が外部に漏れる可能性があります。 ・当該ソフトウェアが扱う情報の一部が書き換えられる可能性があります。 ・当該ソフトウェアは停止しません。 |
| 対策 | ベンダ情報を参照して適切な対策を実施してください。 |
| 公表日 | 2026年5月25日0:00 |
| 登録日 | 2026年6月3日15:38 |
| 最終更新日 | 2026年6月3日15:38 |
| CVSS3.0 : 警告 | |
| スコア | 6.1 |
|---|---|
| ベクター | CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N |
| Apache Software Foundation |
| Echarts 6.1.0 未満 |
| No | 変更内容 | 変更日 |
|---|---|---|
| 1 | [2026年06月03日] 掲載 |
2026年6月3日15:38 |
| 概要 | A cross-site scripting (XSS) vulnerability exists in Apache ECharts in the Lines series tooltip rendering logic. This issue affects Apache ECharts: from before 6.1.0. In versions prior to 6.1.0, if both Lines series and tooltip are used, and no user-specified tooltip.formatter is provided, and series.data[i].name is specified, raw HTML string series.data[i].name can be rendered through innerHTML sink into tooltip content. Although tooltip is allowed to accept user-provided raw HTML via a custom tooltip.formatter, the built-in tooltip formatters conventionally perform HTML escaping automatically. This case breaks that convention and may unexpectedly lead to script execution when tooltips are displayed. Users are recommended to upgrade to version 6.1.0 if using the Lines series in this way, which fixes the issue. |
|---|---|
| 公表日 | 2026年5月25日17:16 |
| 登録日 | 2026年5月27日4:07 |
| 最終更新日 | 2026年5月28日22:48 |
| 構成1 | 以上 | 以下 | より上 | 未満 | |
| cpe:2.3:a:apache:echarts:*:*:*:*:*:*:*:* | 6.1.0 | ||||