PT-2025-52263 · Vega · Vega
Catalin Iovita
·
Publicado
2025-12-18
·
Atualizado
2025-12-19
·
CVE-2025-14896
CVSS v4.0
8.7
Alta
| Vetor | AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:N/VA:N/SC:N/SI:N/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X |
Nome do Software Vulnerável e Versões Afetadas
Vega (versões afetadas não especificadas)
Descrição
O software contém uma falha devido à validação de entrada inadequada na função
convert() quando o safeMode está ativo e a variável spec é um array. Isso permite que um atacante crie uma especificação de diagrama Vega especialmente elaborada que pode enviar solicitações para qualquer URL, potencialmente incluindo caminhos do sistema de arquivos local. Isso poderia levar à divulgação de informações sensíveis. O parâmetro vulnerável é spec.Recomendações
No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.
Files Accessible to External Parties
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Vega