Wiz
脆弱性データベースCVE-2025-9910

CVE-2025-9910
JavaScript 脆弱性の分析と軽減

概要

Versions of the package jsondiffpatch before 0.7.2 are vulnerable to Cross-site Scripting (XSS) via HtmlFormatter::nodeBegin. The vulnerability was discovered on March 3, 2025, and publicly disclosed on September 11, 2025. The affected packages include jsondiffpatch, org.webjars.npm:jsondiffpatch, and org.webjars.bower:jsondiffpatch (Snyk Advisory).

技術的な詳細

The vulnerability exists in the HtmlFormatter::nodeBegin component where malicious scripts can be injected into HTML payloads. The issue stems from improper sanitization of input data when rendering HTML output. The vulnerability has been assigned a CVSS v4.0 base score of 1.3 (Low) with vector string CVSS:4.0/AV:N/AC:L/AT:P/PR:N/UI:P/VC:N/VI:N/VA:N/SC:L/SI:L/SA:N and CVSS v3.1 base score of 4.7 (Medium) with vector string CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:C/C:L/I:L/A:N (NVD).

影響

An attacker can inject malicious scripts into HTML payloads that may lead to code execution if untrusted payloads were used as source for the diff, and the result renderer using the built-in html formatter on a private website. The vulnerability could potentially allow attackers to execute arbitrary JavaScript code in the context of the affected web application (Snyk Advisory).

軽減策と回避策

Users should upgrade jsondiffpatch to version 0.7.2 or higher, which contains the fix for this vulnerability. A fix has been implemented in the master branch through commit 0e374b5dd8d7879b329a9fc18affbd46ad50dd14 that properly escapes HTML content (GitHub Commit).

関連情報

ソースこのレポートは AI を使用して生成されました

関連 JavaScript 脆弱 性:

CVE 識別子

重大度

スコア

テクノロジー

コンポーネント名

CISA KEV エクスプロイト

修正あり

公開日

CVE-2025-59145HIGH8.8
  • JavaScriptJavaScript
  • color-name
いいえはいSep 15, 2025
CVE-2025-59331HIGH8.8
  • JavaScriptJavaScript
  • is-arrayish
いいえはいSep 15, 2025
CVE-2025-59330HIGH8.8
  • JavaScriptJavaScript
  • error-ex
いいえはいSep 15, 2025
CVE-2025-59162HIGH8.8
  • JavaScriptJavaScript
  • color-convert
いいえはいSep 15, 2025
CVE-2025-9862MEDIUM6.1
  • JavaScriptJavaScript
  • ghost
いいえはいSep 15, 2025

無料の脆弱性評価

クラウドセキュリティポスチャーのベンチマーク

9つのセキュリティドメインにわたるクラウドセキュリティプラクティスを評価して、リスクレベルをベンチマークし、防御のギャップを特定します。

評価を依頼する

Wizのその他のリソース

Cloud Vulnerability DB

Cloud Vulnerability DB

コミュニティ主導の脆弱性データベース

PEACH

PEACH

テナント隔離フレームワーク

パーソナライズされたデモを見る

実際に Wiz を見てみませんか?​

"私が今まで見た中で最高のユーザーエクスペリエンスは、クラウドワークロードを完全に可視化します。"
デビッド・エストリックCISO (最高情報責任者)
"Wiz を使えば、クラウド環境で何が起こっているかを 1 つの画面で確認することができます"
アダム・フレッチャーチーフ・セキュリティ・オフィサー
"Wizが何かを重要視した場合、それは実際に重要であることを私たちは知っています。"
グレッグ・ポニャトフスキ脅威および脆弱性管理責任者
デモを見る