Vulnerabilidad en jsonpath (CVE-2026-1615)
Gravedad CVSS v4.0:
CRÍTICA
Tipo:
CWE-94
Control incorrecto de generación de código (Inyección de código)
Fecha de publicación:
09/02/2026
Última modificación:
17/02/2026
Descripción
Todas las versiones del paquete jsonpath son vulnerables a Inyección de Código Arbitrario a través de la evaluación insegura de expresiones JSON Path proporcionadas por el usuario. La biblioteca se basa en el módulo static-eval para procesar la entrada JSON Path, el cual no está diseñado para manejar datos no confiables de forma segura. Un atacante puede explotar esta vulnerabilidad al proporcionar una expresión JSON Path maliciosa que, al ser evaluada, ejecuta código JavaScript arbitrario, lo que lleva a Ejecución Remota de Código en entornos Node.js o Cross-site scripting (XSS) en contextos de navegador. Esto afecta a todos los métodos que evalúan JSON Paths contra objetos, incluyendo .query, .nodes, .paths, .value, .parent y .apply.
Impacto
Puntuación base 4.0
9.20
Gravedad 4.0
CRÍTICA
Puntuación base 3.x
9.80
Gravedad 3.x
CRÍTICA
Referencias a soluciones, herramientas e información
- https://github.com/dchester/jsonpath/blob/c1dd8ec74034fb0375233abb5fdbec51ac317b4b/lib/handlers.js%23L243
- https://github.com/dchester/jsonpath/commit/9631412641b7095f86840a7a45b5b3afc68b0fcb
- https://security.snyk.io/vuln/SNYK-JAVA-ORGWEBJARSNPM-15141219
- https://security.snyk.io/vuln/SNYK-JS-JSONPATH-13645034