الثغرات ›

CVE-2026-47099

متوسط

CWE-79 — نوع الضعف

                    نُشر: May 20, 2026                      ·  آخر تحديث: May 21, 2026                      ·  المصدر: NVD                

CVSS v3

6.1

🔗 NVD الرسمي

📄 الوصف (الإنجليزية)

TeleJSON prior to 6.0.0 contains a DOM-based cross-site scripting vulnerability in the parse() function that allows attackers to execute arbitrary JavaScript by delivering a crafted JSON payload containing a malicious _constructor-name_ property value. The custom reviver passes the constructor name directly to new Function() without sanitization when recreating object prototypes, enabling attackers to inject arbitrary JavaScript through vectors such as postMessage in cross-frame communication contexts to achieve script execution within the application.

🤖 ملخص AI

TeleJSON versions before 6.0.0 contain a DOM-based XSS vulnerability in the parse() function where crafted JSON payloads with malicious _constructor-name_ properties can execute arbitrary JavaScript. The vulnerability exploits unsanitized constructor names passed to new Function(), allowing attackers to inject code through cross-frame communication.

📄 الوصف (العربية)

تؤثر هذه الثغرة على تطبيقات الويب التي تستخدم مكتبة TeleJSON لتحليل بيانات JSON. يمكن للمهاجمين استغلال الثغرة من خلال إرسال حمولات JSON مصنوعة عبر postMessage أو قنوات اتصال أخرى. قد يؤدي الاستغلال الناجح إلى تنفيذ كود JavaScript عشوائي في سياق التطبيق المتأثر.

🤖 ملخص تنفيذي (AI)

إصدارات TeleJSON السابقة للإصدار 6.0.0 تحتوي على ثغرة XSS قائمة على DOM في دالة parse() حيث يمكن لحمولات JSON المصنوعة بخاصية _constructor-name_ خبيثة تنفيذ JavaScript عشوائي. تستغل الثغرة أسماء المنشئات غير المعقمة التي يتم تمريرها إلى new Function()، مما يسمح للمهاجمين بحقن الكود عبر الاتصالات بين الإطارات.

🤖 التحليل الذكي آخر تحليل: May 23, 2026 08:48

🇸🇦 التأثير على المملكة العربية السعودية

Saudi Relevance: high

🏢 القطاعات السعودية المتأثرة

banking telecom government healthcare

🎯 تقنيات MITRE ATT&CK

T1059.007 T1190 T1566.002

⚖️ درجة المخاطر السعودية (AI)

7.0

/ 10.0

🔧 Remediation Steps (English)

Upgrade TeleJSON to version 6.0.0 or later immediately. Implement input validation and sanitization for all JSON payloads before parsing. Apply Content Security Policy (CSP) headers to prevent inline script execution. Validate and sanitize constructor names before passing to new Function(). Implement postMessage validation and origin checking for cross-frame communication.

🔧 خطوات المعالجة (العربية)

قم بترقية TeleJSON إلى الإصدار 6.0.0 أو أحدث فوراً. طبق التحقق من صحة المدخلات والتعقيم لجميع حمولات JSON قبل التحليل. طبق رؤوس سياسة أمان المحتوى (CSP) لمنع تنفيذ البرامج النصية المضمنة. تحقق من أسماء المنشئات وعقمها قبل تمريرها إلى new Function(). طبق التحقق من صحة postMessage والتحقق من الأصل للاتصالات بين الإطارات.

📋 خريطة الامتثال التنظيمي

🟢 NCA ECC 2024

A.14.2.1 A.14.2.5

🔵 SAMA CSF

AC-3 SI-10

🟡 ISO 27001:2022

A.13.1.3 A.14.2.1

🔗 المراجع والمصادر 2

🔗

https://github.com/storybookjs/telejson/security/advisories/GHSA-ccgf-5rwj-j3hv

disclosure@vulncheck.com

🔗

https://www.vulncheck.com/advisories/telejson-dom-based-xss-via-parse-function

disclosure@vulncheck.com

📊 CVSS Score

6.1

/ 10.0 — متوسط

📊 CVSS Vector

CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N

Attack VectorN — None / Network

Attack ComplexityL — Low / Local

Privileges RequiredN — None / Network

User InteractionR — Required

ScopeC — Changed

ConfidentialityL — Low / Local

IntegrityL — Low / Local

AvailabilityN — None / Network

📋 حقائق سريعة

الخطورة متوسط

CVSS Score6.1

CWECWE-79

EPSS0.04%

اختراق متاح لا

تصحيح متاح ✗ لا

تاريخ النشر 2026-05-20

المصدر nvd

المشاهدات 2

🇸🇦 درجة المخاطر السعودية

7.0

/ 10.0 — مخاطر السعودية

أولوية: HIGH

🏷️ الوسوم

CWE-79

⚡ إجراءات

🔗 NVD Official Page ⚡ Exploit-DB Search 🐙 GitHub PoC Search 🎯 MITRE ATT&CK 📊 CVE Details

CVE-2026-47099

عرّفنا بنفسك

تسجيل الدخول مطلوب