CVE-2026-42338CVE-2026-42338是JavaScript库ip-address中的一个安全漏洞。在10.1.1之前的版本中,Address6.group()和Address6.link()方法未对攻击者控制的输入进行HTML转义。此外,AddressError.parseMessage在特定分支也可能包含未转义内容。若应用程序将受影响方法的输出或错误消息作为HTML(如通过innerHTML)渲染,攻击者可利用此漏洞执行跨站脚本攻击。
该漏洞属于典型的存储型或反射型跨站脚本(XSS),其根本原因在于输出编码缺失。在ip-address库的受影响版本中,Address6类的group()和link()方法在生成HTML字符串时,直接嵌入了未经净化的用户输入。同时,AddressError的parseMessage在处理无效输入时,也可能直接暴露原始数据。攻击者可构造包含恶意HTML/JavaScript代码的特殊字符串作为IPv6地址输入。当目标Web应用使用该库解析地址,并将上述方法的返回值或错误信息直接通过innerHTML插入DOM时,恶意代码将被浏览器解析执行。由于CVSS向量为UI:R,攻击通常需要诱导用户进行交互(如点击链接)才能触发载荷,从而窃取会话信息或执行恶意操作。