CVE-2026-45249: Apache ECharts XSS 漏洞总结 漏洞概述 Apache ECharts 的 Lines 系列 tooltip 渲染逻辑中存在跨站脚本(XSS)漏洞。当使用 Lines 系列和 tooltip,且未提供用户指定的 tooltip 格式化器时, 会被直接渲染到 tooltip 内容中。尽管 tooltip 允许通过自定义格式化器接受用户提供的 raw HTML,但内置的 tooltip 格式化器默认会转义 HTML。此漏洞破坏了该约定,可能导致在显示 tooltip 时意外执行脚本。 影响范围 受影响版本:Apache ECharts (echarts) 6.1.0 之前的所有版本。 修复方案 建议用户升级到 6.1.0 版本,该版本修复了此问题。 参考链接 GitHub Pull Request ECharts Option Lines Best Practices for Security ECharts Official Site CVE Record