jsonpath - CVE-2026-1615
Date de publication :
jsonpath est une bibliothèque JavaScript (npm) permettant d’interroger des objets JSON via des expressions JSONPath. La vulnérabilité provient de l’évaluation non sécurisée d’expressions JSONPath fournies par l’utilisateur via le module static-eval, pouvant mener à l’exécution de JavaScript arbitraire (RCE en Node.js ou XSS côté navigateur).
Informations
La faille est activement exploitée : Non
Un correctif existe : Non
Une mesure de contournement existe : Oui
• Exécution de code arbitraire (à distance)
• Injection de code indirecte (à distance) (XSS)
Exploitation
La vulnérabilité exploitée est du type
CWE-94: Improper Control of Generation of Code (“Code Injection”)
Détails sur l'exploitation
• Vecteur d'attaque : Réseau
• Complexité de l'attaque : Faible
• Privilèges nécessaires pour réaliser l'attaque : Aucun
• Interaction d'un utilisateur ayant accès au produit est-elle nécessaire : Non
• L'exploitation de la faille permet d'obtenir des droits privilégiés : En attente d’information (dépend du contexte d’exécution)
Preuve de concept
Actuellement, aucune preuve de concept n'est disponible en sources ouvertes.
Systèmes ou composants affectés
Toutes les versions du package npm jsonpath.
Contournement provisoire
• Ne pas évaluer d’expressions JSONPath provenant d’utilisateurs non fiables (ou les restreindre via liste blanche de patterns/opérateurs autorisés),
• Isoler l’évaluation (process séparé / sandbox) et limiter les privilèges du service consommant jsonpath.
• Envisager une bibliothèque alternative ne reposant pas sur une évaluation dangereuse, si le besoin fonctionnel le permet.
Solutions ou recommandations
Aucun correctif éditeur / version corrigée n’est disponible à ce stade pour jsonpath.