news 2026/7/14 18:41:06

Quill富文本编辑器HTML导出功能存在XSS漏洞分析

作者头像

张小明

前端开发工程师

1.2k 24
文章封面图
Quill富文本编辑器HTML导出功能存在XSS漏洞分析

Quill 因HTML导出功能易受XSS攻击 · CVE-2025-15056 · GitHub Advisory Database

漏洞详情

包管理器:npm
包名称:quill
受影响版本:= 2.0.3
已修补版本:

描述:
Quill 的 HTML 导出功能中存在数据验证缺失漏洞,可导致跨站脚本(XSS)攻击。
此问题影响 Quill 版本:2.0.3。

参考链接:

  • https://nvd.nist.gov/vuln/detail/CVE-2025-15056
  • https://fluidattacks.com/advisories/diomedes
  • https://github.com/slab/quill

时间线

  • 国家漏洞数据库发布时间:2026年1月13日
  • GitHub Advisory Database 发布时间:2026年1月13日
  • 审核时间:2026年1月16日
  • 最后更新时间:2026年1月16日

严重程度

等级:
CVSS 总体评分:2.0 / 10

CVSS v4 基础指标

可利用性指标:

  • 攻击向量:网络
  • 攻击复杂度:
  • 攻击前提条件:
  • 所需权限:
  • 用户交互:需要

受影响系统影响指标:

  • 机密性影响:
  • 完整性影响:
  • 可用性影响:

后续系统影响指标:

  • 机密性影响:
  • 完整性影响:
  • 可用性影响:

CVSS向量字符串:
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:A/VC:N/VI:N/VA:N/SC:N/SI:L/SA:N/E:P

EPSS 分数

EPSS 分数:0.047% (第15百分位)
此分数估计了该漏洞在未来30天内被利用的概率。数据由FIRST提供。

弱点

弱点标识:CWE-74
弱点描述:输出给下游组件使用的特殊元素中和不当(“注入”)
该产品使用来自上游组件的外部影响输入来构建全部或部分命令、数据结构或记录,但在将其发送到下游组件时,未能中和或错误地中和了可能修改其解析或解释方式的特殊元素。
在 MITRE 上了解更多信息。

标识符

  • CVE ID:CVE-2025-15056
  • GHSA ID:GHSA-v3m3-f69x-jf25
  • 源代码仓库:slab/quill
    glyoVzOLZA9nMhz/bDHDAWzfRfZ0dSZtQUalpUyOmxdU1rjd1tTcxOc135y57LUIhn/cdypoAQ8wVFTu3C8w3A==
    更多精彩内容 请关注我的个人公众号 公众号(办公AI智能小助手)
    对网络安全、黑客技术感兴趣的朋友可以关注我的安全公众号(网络安全技术点滴分享)
版权声明: 本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若内容造成侵权/违法违规/事实不符,请联系邮箱:809451989@qq.com进行投诉反馈,一经查实,立即删除!
网站建设 2026/7/3 23:01:43

自建微习惯管理工具:mhabit 开源追踪应用服务器搭建实战

如果你尝试过培养习惯,大概率会有这样的经历: 📅 一开始动力满满,坚持几天就断了 😵 目标定得太大,很难长期执行 📱 装了好几个习惯 App,最后还是放弃 🔒 数据都在第三方平台,换 App 成本很高 🧠 真正想要的,其实只是“每天做一点点” 后来我开始接触 mhabi…

作者头像 李华
网站建设 2026/7/13 6:32:28

揭秘Claude Desktop无法识别MCP Server路径:3步快速定位配置陷阱

第一章:Claude Desktop 无法识别自定义 mcp server 路径 当用户尝试在 Claude Desktop 中集成本地开发的 MCP(Model Control Protocol)server 时,常见现象是应用启动后未建立连接,且日志中提示 failed to resolve mcp …

作者头像 李华
网站建设 2026/7/10 17:53:06

开源语音识别生态:Speech Seaco Paraformer社区贡献价值

开源语音识别生态:Speech Seaco Paraformer社区贡献价值 1. 引言:为什么我们需要开源语音识别? 语音识别技术正在改变我们与设备的交互方式。从智能助手到会议记录,从教育辅导到内容创作,自动语音识别(AS…

作者头像 李华
网站建设 2026/7/2 12:11:51

掌握这4个参数,轻松实现Dify节点自动重试防超时

第一章:Dify节点重试机制的核心价值 在构建高可用的自动化工作流时,网络波动、服务瞬时不可用或资源竞争等问题可能导致节点执行失败。Dify 的节点重试机制通过智能恢复策略,显著提升流程的鲁棒性与执行成功率。 增强系统容错能力 当某个节点…

作者头像 李华
网站建设 2026/6/28 23:23:11

CAM++多语种扩展潜力:方言识别测试案例

CAM多语种扩展潜力:方言识别测试案例 1. 引言:为什么关注方言识别? 语音技术正在快速改变人机交互的方式,而说话人识别作为其中的重要分支,已广泛应用于身份验证、智能客服、安防系统等场景。CAM 是一个由科哥开发的…

作者头像 李华
网站建设 2026/7/12 21:46:09

Qwen3-0.6B企业级部署:生产环境稳定性实战测试

Qwen3-0.6B企业级部署:生产环境稳定性实战测试 1. Qwen3-0.6B 模型简介与定位 Qwen3(千问3)是阿里巴巴集团于2025年4月29日开源的新一代通义千问大语言模型系列,涵盖6款密集模型和2款混合专家(MoE)架构模…

作者头像 李华