Vulnerability Details CVE-2023-26487
Vega is a visualization grammar, a declarative format for creating, saving, and sharing interactive visualization designs.`lassoAppend' function accepts 3 arguments and internally invokes `push` function on the 1st argument specifying array consisting of 2nd and 3rd arguments as `push` call argument. The type of the 1st argument is supposed to be an array, but it's not enforced. This makes it possible to specify any object with a `push` function as the 1st argument, `push` function can be set to any function that can be access via `event.view` (no all such functions can be exploited due to invalid context or signature, but some can, e.g. `console.log`). The issue is that`lassoAppend` doesn't enforce proper types of its arguments. This issue opens various XSS vectors, but exact impact and severity depends on the environment (e.g. Core JS `setImmediate` polyfill basically allows `eval`-like functionality). This issue was patched in 5.23.0.
Exploit prediction scoring system (EPSS) score
EPSS Score 0.002
EPSS Ranking 37.8%
CVSS Severity
CVSS v3 Score 6.5
References
- https://github.com/vega/vega/commit/01adb034f24727d3bb321bbbb6696a7f4cd91689
- https://github.com/vega/vega/releases/tag/v5.23.0
- https://github.com/vega/vega/security/advisories/GHSA-w5m3-xh75-mp55
- https://github.com/vega/vega/commit/01adb034f24727d3bb321bbbb6696a7f4cd91689
- https://github.com/vega/vega/releases/tag/v5.23.0
- https://github.com/vega/vega/security/advisories/GHSA-w5m3-xh75-mp55
Products affected by CVE-2023-26487
-
cpe:2.3:a:vega-functions_project:vega-functions:5.0.0
-
cpe:2.3:a:vega-functions_project:vega-functions:5.0.1
-
cpe:2.3:a:vega-functions_project:vega-functions:5.1.0
-
cpe:2.3:a:vega-functions_project:vega-functions:5.1.1
-
cpe:2.3:a:vega-functions_project:vega-functions:5.10.0
-
cpe:2.3:a:vega-functions_project:vega-functions:5.11.0
-
cpe:2.3:a:vega-functions_project:vega-functions:5.12.0
-
cpe:2.3:a:vega-functions_project:vega-functions:5.12.1
-
cpe:2.3:a:vega-functions_project:vega-functions:5.13.0
-
cpe:2.3:a:vega-functions_project:vega-functions:5.2.0
-
cpe:2.3:a:vega-functions_project:vega-functions:5.3.0
-
cpe:2.3:a:vega-functions_project:vega-functions:5.3.1
-
cpe:2.3:a:vega-functions_project:vega-functions:5.3.2
-
cpe:2.3:a:vega-functions_project:vega-functions:5.4.0
-
cpe:2.3:a:vega-functions_project:vega-functions:5.4.1
-
cpe:2.3:a:vega-functions_project:vega-functions:5.5.0
-
cpe:2.3:a:vega-functions_project:vega-functions:5.5.1
-
cpe:2.3:a:vega-functions_project:vega-functions:5.6.0
-
cpe:2.3:a:vega-functions_project:vega-functions:5.7.0
-
cpe:2.3:a:vega-functions_project:vega-functions:5.7.1
-
cpe:2.3:a:vega-functions_project:vega-functions:5.7.2
-
cpe:2.3:a:vega-functions_project:vega-functions:5.7.3
-
cpe:2.3:a:vega-functions_project:vega-functions:5.8.0
-
cpe:2.3:a:vega-functions_project:vega-functions:5.9.0
-
cpe:2.3:a:vega_project:vega:1.0.0
-
cpe:2.3:a:vega_project:vega:1.1.0
-
cpe:2.3:a:vega_project:vega:1.2.0
-
cpe:2.3:a:vega_project:vega:1.3.0
-
cpe:2.3:a:vega_project:vega:1.3.1
-
cpe:2.3:a:vega_project:vega:1.3.2
-
cpe:2.3:a:vega_project:vega:1.3.3
-
cpe:2.3:a:vega_project:vega:1.3.4
-
cpe:2.3:a:vega_project:vega:1.4.0
-
cpe:2.3:a:vega_project:vega:1.4.1
-
cpe:2.3:a:vega_project:vega:1.4.2
-
cpe:2.3:a:vega_project:vega:1.4.3
-
cpe:2.3:a:vega_project:vega:1.5.0
-
cpe:2.3:a:vega_project:vega:1.5.3
-
cpe:2.3:a:vega_project:vega:1.5.4
-
cpe:2.3:a:vega_project:vega:2.0.0
-
cpe:2.3:a:vega_project:vega:2.0.1
-
cpe:2.3:a:vega_project:vega:2.0.2
-
cpe:2.3:a:vega_project:vega:2.0.3
-
cpe:2.3:a:vega_project:vega:2.0.4
-
cpe:2.3:a:vega_project:vega:2.0.5
-
cpe:2.3:a:vega_project:vega:2.0.6
-
cpe:2.3:a:vega_project:vega:2.1.0
-
cpe:2.3:a:vega_project:vega:2.1.1
-
cpe:2.3:a:vega_project:vega:2.1.2
-
cpe:2.3:a:vega_project:vega:2.2.0
-
cpe:2.3:a:vega_project:vega:2.2.1
-
cpe:2.3:a:vega_project:vega:2.2.2
-
cpe:2.3:a:vega_project:vega:2.2.3
-
cpe:2.3:a:vega_project:vega:2.2.4
-
cpe:2.3:a:vega_project:vega:2.2.5
-
cpe:2.3:a:vega_project:vega:2.2.6
-
cpe:2.3:a:vega_project:vega:2.3.0
-
cpe:2.3:a:vega_project:vega:2.3.1
-
cpe:2.3:a:vega_project:vega:2.4.0
-
cpe:2.3:a:vega_project:vega:2.4.1
-
cpe:2.3:a:vega_project:vega:2.4.2
-
cpe:2.3:a:vega_project:vega:2.5.0
-
cpe:2.3:a:vega_project:vega:2.5.1
-
cpe:2.3:a:vega_project:vega:2.5.2
-
cpe:2.3:a:vega_project:vega:2.6.0
-
cpe:2.3:a:vega_project:vega:2.6.1
-
cpe:2.3:a:vega_project:vega:2.6.2
-
cpe:2.3:a:vega_project:vega:2.6.3
-
cpe:2.3:a:vega_project:vega:2.6.4
-
cpe:2.3:a:vega_project:vega:2.6.5
-
cpe:2.3:a:vega_project:vega:3.0.0
-
cpe:2.3:a:vega_project:vega:3.0.1
-
cpe:2.3:a:vega_project:vega:3.0.10
-
cpe:2.3:a:vega_project:vega:3.0.2
-
cpe:2.3:a:vega_project:vega:3.0.3
-
cpe:2.3:a:vega_project:vega:3.0.4
-
cpe:2.3:a:vega_project:vega:3.0.5
-
cpe:2.3:a:vega_project:vega:3.0.6
-
cpe:2.3:a:vega_project:vega:3.0.7
-
cpe:2.3:a:vega_project:vega:3.0.8
-
cpe:2.3:a:vega_project:vega:3.0.9
-
cpe:2.3:a:vega_project:vega:3.1.0
-
cpe:2.3:a:vega_project:vega:3.2.0
-
cpe:2.3:a:vega_project:vega:3.2.1
-
cpe:2.3:a:vega_project:vega:3.3.0
-
cpe:2.3:a:vega_project:vega:3.3.1
-
cpe:2.3:a:vega_project:vega:4.0.0
-
cpe:2.3:a:vega_project:vega:4.1.0
-
cpe:2.3:a:vega_project:vega:4.2.0
-
cpe:2.3:a:vega_project:vega:4.3.0
-
cpe:2.3:a:vega_project:vega:4.4.0
-
cpe:2.3:a:vega_project:vega:5.0.0
-
cpe:2.3:a:vega_project:vega:5.1.0
-
cpe:2.3:a:vega_project:vega:5.10.0
-
cpe:2.3:a:vega_project:vega:5.10.1
-
cpe:2.3:a:vega_project:vega:5.11.0
-
cpe:2.3:a:vega_project:vega:5.11.1
-
cpe:2.3:a:vega_project:vega:5.12.0
-
cpe:2.3:a:vega_project:vega:5.12.1
-
cpe:2.3:a:vega_project:vega:5.12.2
-
cpe:2.3:a:vega_project:vega:5.12.3
-
cpe:2.3:a:vega_project:vega:5.13.0
-
cpe:2.3:a:vega_project:vega:5.14.0
-
cpe:2.3:a:vega_project:vega:5.15.0
-
cpe:2.3:a:vega_project:vega:5.16.0
-
cpe:2.3:a:vega_project:vega:5.16.1
-
cpe:2.3:a:vega_project:vega:5.17.0
-
cpe:2.3:a:vega_project:vega:5.17.1
-
cpe:2.3:a:vega_project:vega:5.17.2
-
cpe:2.3:a:vega_project:vega:5.17.3
-
cpe:2.3:a:vega_project:vega:5.18.0
-
cpe:2.3:a:vega_project:vega:5.19.0
-
cpe:2.3:a:vega_project:vega:5.19.1
-
cpe:2.3:a:vega_project:vega:5.2.0
-
cpe:2.3:a:vega_project:vega:5.20.0
-
cpe:2.3:a:vega_project:vega:5.20.1
-
cpe:2.3:a:vega_project:vega:5.20.2
-
cpe:2.3:a:vega_project:vega:5.21.0
-
cpe:2.3:a:vega_project:vega:5.22.0
-
cpe:2.3:a:vega_project:vega:5.22.1
-
cpe:2.3:a:vega_project:vega:5.3.0
-
cpe:2.3:a:vega_project:vega:5.3.1
-
cpe:2.3:a:vega_project:vega:5.3.2
-
cpe:2.3:a:vega_project:vega:5.3.3
-
cpe:2.3:a:vega_project:vega:5.3.4
-
cpe:2.3:a:vega_project:vega:5.3.5
-
cpe:2.3:a:vega_project:vega:5.4.0
-
cpe:2.3:a:vega_project:vega:5.5.0
-
cpe:2.3:a:vega_project:vega:5.5.1
-
cpe:2.3:a:vega_project:vega:5.5.2
-
cpe:2.3:a:vega_project:vega:5.5.3
-
cpe:2.3:a:vega_project:vega:5.6.0
-
cpe:2.3:a:vega_project:vega:5.7.0
-
cpe:2.3:a:vega_project:vega:5.7.1
-
cpe:2.3:a:vega_project:vega:5.7.2
-
cpe:2.3:a:vega_project:vega:5.7.3
-
cpe:2.3:a:vega_project:vega:5.8.0
-
cpe:2.3:a:vega_project:vega:5.8.1
-
cpe:2.3:a:vega_project:vega:5.9.0
-
cpe:2.3:a:vega_project:vega:5.9.1
-
cpe:2.3:a:vega_project:vega:5.9.2