CVE-2026-45249

Nome do Software Vulnerável e Versões Afetadas Apache ECharts versões anteriores a 6.1.0

Descrição Um problema de cross-site scripting (XSS) existe na lógica de renderização de tooltip da série Lines. Quando a série Lines e o tooltip são utilizados sem um tooltip.formatter especificado pelo usuário, e o series.data[i].name é fornecido, strings HTML brutas em series.data[i].name podem ser renderizadas através de um sink innerHTML no conteúdo do tooltip. Embora os tooltips normalmente permitam HTML bruto via formatadores personalizados, os formatadores integrados geralmente realizam a escape de HTML automaticamente; no entanto, este caso específico falha ao fazê-lo, podendo levar à execução de scripts quando os tooltips são exibidos.

Recomendações Atualizar para a versão 6.1.0.