Vulnerabilities ›

CVE-2026-47099

Medium

CWE-79 — Weakness Type

                    Published: May 20, 2026                      ·  Modified: May 21, 2026                      ·  Source: NVD                

CVSS v3

6.1

🔗 NVD Official

📄 Description (English)

TeleJSON prior to 6.0.0 contains a DOM-based cross-site scripting vulnerability in the parse() function that allows attackers to execute arbitrary JavaScript by delivering a crafted JSON payload containing a malicious _constructor-name_ property value. The custom reviver passes the constructor name directly to new Function() without sanitization when recreating object prototypes, enabling attackers to inject arbitrary JavaScript through vectors such as postMessage in cross-frame communication contexts to achieve script execution within the application.

🤖 AI Executive Summary

TeleJSON versions before 6.0.0 contain a DOM-based XSS vulnerability in the parse() function where crafted JSON payloads with malicious _constructor-name_ properties can execute arbitrary JavaScript. The vulnerability exploits unsanitized constructor names passed to new Function(), allowing attackers to inject code through cross-frame communication.

📄 Description (Arabic)

تؤثر هذه الثغرة على تطبيقات الويب التي تستخدم مكتبة TeleJSON لتحليل بيانات JSON. يمكن للمهاجمين استغلال الثغرة من خلال إرسال حمولات JSON مصنوعة عبر postMessage أو قنوات اتصال أخرى. قد يؤدي الاستغلال الناجح إلى تنفيذ كود JavaScript عشوائي في سياق التطبيق المتأثر.

🤖 ملخص تنفيذي (AI)

إصدارات TeleJSON السابقة للإصدار 6.0.0 تحتوي على ثغرة XSS قائمة على DOM في دالة parse() حيث يمكن لحمولات JSON المصنوعة بخاصية _constructor-name_ خبيثة تنفيذ JavaScript عشوائي. تستغل الثغرة أسماء المنشئات غير المعقمة التي يتم تمريرها إلى new Function()، مما يسمح للمهاجمين بحقن الكود عبر الاتصالات بين الإطارات.

🤖 AI Intelligence Analysis Analyzed: May 23, 2026 08:48

🇸🇦 Saudi Arabia Impact Assessment

Saudi Relevance: high

🏢 Affected Saudi Sectors

banking telecom government healthcare

🎯 MITRE ATT&CK Techniques

T1059.007 T1190 T1566.002

⚖️ Saudi Risk Score (AI)

7.0

/ 10.0

🔧 Remediation Steps (English)

Upgrade TeleJSON to version 6.0.0 or later immediately. Implement input validation and sanitization for all JSON payloads before parsing. Apply Content Security Policy (CSP) headers to prevent inline script execution. Validate and sanitize constructor names before passing to new Function(). Implement postMessage validation and origin checking for cross-frame communication.

🔧 خطوات المعالجة (العربية)

قم بترقية TeleJSON إلى الإصدار 6.0.0 أو أحدث فوراً. طبق التحقق من صحة المدخلات والتعقيم لجميع حمولات JSON قبل التحليل. طبق رؤوس سياسة أمان المحتوى (CSP) لمنع تنفيذ البرامج النصية المضمنة. تحقق من أسماء المنشئات وعقمها قبل تمريرها إلى new Function(). طبق التحقق من صحة postMessage والتحقق من الأصل للاتصالات بين الإطارات.

📋 Regulatory Compliance Mapping

🟢 NCA ECC 2024

A.14.2.1 A.14.2.5

🔵 SAMA CSF

AC-3 SI-10

🟡 ISO 27001:2022

A.13.1.3 A.14.2.1

🔗 References & Sources 2

🔗

https://github.com/storybookjs/telejson/security/advisories/GHSA-ccgf-5rwj-j3hv

disclosure@vulncheck.com

🔗

https://www.vulncheck.com/advisories/telejson-dom-based-xss-via-parse-function

disclosure@vulncheck.com

📊 CVSS Score

6.1

/ 10.0 — Medium

📊 CVSS Vector

CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N

Attack VectorN — None / Network

Attack ComplexityL — Low / Local

Privileges RequiredN — None / Network

User InteractionR — Required

ScopeC — Changed

ConfidentialityL — Low / Local

IntegrityL — Low / Local

AvailabilityN — None / Network

📋 Quick Facts

Severity Medium

CVSS Score6.1

CWECWE-79

EPSS0.04%

Exploit No

Patch ✗ No

Published 2026-05-20

Source Feed nvd

🇸🇦 Saudi Risk Score

7.0

/ 10.0 — Saudi Risk

Priority: HIGH

🏷️ Tags

CWE-79

⚡ Actions

🔗 NVD Official Page ⚡ Exploit-DB Search 🐙 GitHub PoC Search 🎯 MITRE ATT&CK 📊 CVE Details

CVE-2026-47099

Introduce Yourself

Sign In Required