CVE-2025-65110 CVSS 8.1 高危

CVE-2025-65110: Vega可视化库DOM XSS漏洞

披露日期: 2026-01-05

来源: [email protected]

漏洞信息

漏洞编号

CVE-2025-65110

漏洞类型

DOM XSS (跨站脚本)

CVSS评分

8.1 高危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

需要交互 (UI:R)

影响产品

Vega可视化库

漏洞概述

Vega可视化库存在DOM XSS漏洞，允许攻击者通过恶意JSON定义注入任意JavaScript代码。即使启用safe mode的expressionInterpreter，攻击者仍可利用全局window对象或函数gadgets执行恶意脚本。该漏洞需要用户交互才能触发，攻击者可窃取敏感信息、操纵数据或执行未授权操作。

技术细节

攻击者构造恶意Vega JSON定义，利用vega.View实例的全局访问权限注入JavaScript代码。通过社工手段诱导用户打开恶意可视化文件，触发DOM XSS执行。

攻击链分析

STEP 1

攻击者创建包含恶意JavaScript的Vega JSON定义

STEP 2

通过社工手段诱导用户打开恶意可视化文件

STEP 3

Vega库解析JSON时触发DOM XSS

STEP 4

攻击者可在用户上下文中执行任意JavaScript代码

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

构造恶意JSON payload，结合XSS向量

影响范围

vega-selections < 5.6.3

vega-selections < 6.1.2

防御指南

临时缓解措施

临时缓解措施包括：避免将vega或vega.View附加到全局变量；严格验证用户输入的Vega JSON定义；使用CSP限制脚本执行。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表