JVN iPedia http://jvndb.jvn.jp Advisory JVNDB-2026-017416 Apache EChartsのLinesシリーズのツールチップ描画ロジックにクロスサイトスクリプティング（XSS）の脆弱性が存在します。この問題はバージョン6.1.0未満のApache EChartsに影響します。バージョン6.1.0以前では、Linesシリーズとツールチップの両方を使用し、ユーザー指定のtooltip.formatterが提供されておらず、かつseries.data[i].nameが指定されている場合、生のHTML文字列であるseries.data[i].nameがinnerHTMLを通じてツールチップのコンテンツにレンダリングされる可能性があります。ツールチップはカスタムtooltip.formatterを通じてユーザー提供の生HTMLを許可していますが、組み込みのtooltip.formatterは通常HTMLエスケープを自動的に行います。このケースはその慣例を破り、ツールチップが表示される際に予期せずスクリプトが実行される恐れがあります。ユーザーはこの問題を修正したバージョン6.1.0へアップグレードすることを推奨されます。 cpe:/a:apache:echarts https://jvndb.jvn.jp/ja/contents/2026/JVNDB-2026-017416.html Common Vulnerabilities and Exposures (CVE) CVE-2026-45249 https://www.cve.org/CVERecord?id=CVE-2026-45249 National Vulnerability Database (NVD) CVE-2026-45249 https://nvd.nist.gov/vuln/detail/CVE-2026-45249 Pony Mail CVE-2026-45249: Apache ECharts: XSS in Lines series tooltip rendering-Apache Mail Archives https://lists.apache.org/thread/1g6xk7gd9vg1c6zyqqt2lnko10zomc3o JVNDB CWE-79 https://jvndb.jvn.jp/ja/cwe/CWE-79.html Openwall mailing list archives oss-security - CVE-2026-45249: Apache ECharts: XSS in Lines series tooltip rendering http://www.openwall.com/lists/oss-security/2026/05/23/4 関連文書 fix(lines): fix potential tooltip XSS vulnerability in lines series by plainheart Pull Request #21608 apache/echarts GitHub https://github.com/apache/echarts/pull/21608 関連文書 Documentation - Apache ECharts https://echarts.apache.org/en/option.html#series-lines 関連文書 Security Guidelines - Best Practices - Handbook - Apache ECharts https://echarts.apache.org/handbook/en/best-practices/security/#passing_raw_html_safely 2026-06-03T15:38:26+09:00 2026-06-03T15:38:26+09:00