GHSA-ccgf-5rwj-j3hv:
JavaScript 脆弱性の分析と軽減

Summary

telejson versions prior to 6.0.0 (released 2022) are vulnerable to DOM-based Cross-Site Scripting (XSS) through unsafe deserialisation. Attacker-controlled input from the _constructor-name_ property in parsed JSON is passed directly to new Function() without sanitisation, allowing arbitrary JavaScript execution.

Affected versions

Package	Affected	Fixed
telejson	< 6.0.0	>= 6.0.0

Details

telejson's parse() function uses a custom reviver to reconstruct JavaScript objects from serialised JSON. When processing objects with a _constructor-name_ property, the reviver passes the constructor name directly to new Function() to recreate the object's prototype.

In versions prior to 6.0.0, this constructor name is not sanitised. An attacker who can deliver a crafted JSON payload to telejson.parse() (for example, via postMessage in applications that use telejson for cross-frame communication) can inject arbitrary JavaScript into the new Function() call.

Vulnerable code (src/index.ts, lines 293-299 at v5.3.3):

if (isObject<ValueContainer>(value) && value['_constructor-name_']) {
  const name = value['_constructor-name_'];
  if (name !== 'Object') {
    const Fn = new Function(`return function ${name}(){}`)();
    Object.setPrototypeOf(value, new Fn());
  }

Fixed code (src/index.ts, lines 340-346 at v6.0.0):

if (isObject<ValueContainer>(value) && value['_constructor-name_'] && options.allowFunction) {
  const name = value['_constructor-name_'];
  if (name !== 'Object') {
    const Fn = new Function(`return function ${name.replace(/[\W_]+/g, '')}(){}`)();
    Object.setPrototypeOf(value, new Fn());
  }

The fix introduces two mitigations: a character allowlist via regex that strips non-word characters before they reach new Function(), and gating the entire code path behind the allowFunction option.

Impact

An attacker can execute arbitrary JavaScript in the context of the application using the vulnerable telejson version. Depending on the application, this could enable session hijacking, credential theft, or arbitrary DOM manipulation.

Remediation

Upgrade to telejson >= 6.0.0.

ソース: NVDの

脆弱なインスタンスの表示

お客さんじゃないの?WizがこのようなCVEを実際のクラウド攻撃経路にマッピングする方法をご覧ください。

12 分間のデモを見る

2.1

スコア

公開 April 2, 2026

重大度 LOW

CNAスコア該当なし

影響を受けるテクノロジー

JavaScript

公開されているエクスプロイトがありますいいえ

CISA KEVエクスプロイトありいいえ

CISA KEVリリース日該当なし

CISA KEV期日該当なし

エクスプロイト確率パーセンタイル(EPSS) 該当なし

エクスプロイト確率(EPSS) 該当なし

影響を受けるパッケージとライブラリ

telejson

ソース

NVD
GitHub Advisory Database
- npm 重大度 LOW修正あり追加日時:Apr 03, 2026

CVEリスク評価を取得

クラウド内のCVEを優先的に表示して、記載されているものではなく、悪用可能なものに焦点を当てることができます。

評価を依頼する

CVE 識別子	重大度	スコア	テクノロジー	コンポーネント名	CISA KEV エクスプロイト	修正あり	公開日
CVE-2026-39983	HIGH	8.6	JavaScript	basic-ftp	いいえ	はい	Apr 09, 2026
CVE-2026-39974	HIGH	8.5	JavaScript	n8n-mcp	いいえ	はい	Apr 09, 2026
CVE-2026-39942	HIGH	8.5	JavaScript	directus	いいえ	はい	Apr 09, 2026
CVE-2026-39943	MEDIUM	6.5	JavaScript	directus	いいえ	はい	Apr 09, 2026
CVE-2026-39315	MEDIUM	6.1	JavaScript	unhead	いいえ	はい	Apr 09, 2026

クラウドセキュリティポスチャーのベンチマーク

9つのセキュリティドメインにわたるクラウドセキュリティプラクティスを評価して、リスクレベルをベンチマークし、防御のギャップを特定します。

評価を依頼する

Wizのその他のリソース

Cloud Vulnerability DB

コミュニティ主導の脆弱性データベース

PEACH

テナント隔離フレームワーク

パーソナライズされたデモを見る

実際に Wiz を見てみませんか？

"私が今まで見た中で最高のユーザーエクスペリエンスは、クラウドワークロードを完全に可視化します。"

デビッド・エストリックCISO (最高情報責任者)

"Wiz を使えば、クラウド環境で何が起こっているかを 1 つの画面で確認することができます"

アダム・フレッチャーチーフ・セキュリティ・オフィサー

"Wizが何かを重要視した場合、それは実際に重要であることを私たちは知っています。"

グレッグ・ポニャトフスキ脅威および脆弱性管理責任者

デモを見る

GHSA-ccgf-5rwj-j3hv: JavaScript 脆弱性の分析と軽減