让配置“既能用、又好维护”:QSettings 的键名转义、编码机制与工程化实践
2026/1/21 18:40:01
Quill 因HTML导出功能易受XSS攻击 · CVE-2025-15056 · GitHub Advisory Database
漏洞详情
包管理器:npm
包名称:quill
受影响版本:= 2.0.3
已修补版本:无
描述:
Quill 的 HTML 导出功能中存在数据验证缺失漏洞,可导致跨站脚本(XSS)攻击。
此问题影响 Quill 版本:2.0.3。
参考链接:
- https://nvd.nist.gov/vuln/detail/CVE-2025-15056
- https://fluidattacks.com/advisories/diomedes
- https://github.com/slab/quill
时间线
- 国家漏洞数据库发布时间:2026年1月13日
- GitHub Advisory Database 发布时间:2026年1月13日
- 审核时间:2026年1月16日
- 最后更新时间:2026年1月16日
严重程度
等级:低
CVSS 总体评分:2.0 / 10
CVSS v4 基础指标
可利用性指标:
- 攻击向量:网络
- 攻击复杂度:低
- 攻击前提条件:无
- 所需权限:无
- 用户交互:需要
受影响系统影响指标:
- 机密性影响:无
- 完整性影响:无
- 可用性影响:无
后续系统影响指标:
- 机密性影响:无
- 完整性影响:低
- 可用性影响:无
CVSS向量字符串:
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:A/VC:N/VI:N/VA:N/SC:N/SI:L/SA:N/E:P
EPSS 分数
EPSS 分数:0.047% (第15百分位)
此分数估计了该漏洞在未来30天内被利用的概率。数据由FIRST提供。
弱点
弱点标识:CWE-74
弱点描述:输出给下游组件使用的特殊元素中和不当(“注入”)
该产品使用来自上游组件的外部影响输入来构建全部或部分命令、数据结构或记录,但在将其发送到下游组件时,未能中和或错误地中和了可能修改其解析或解释方式的特殊元素。
在 MITRE 上了解更多信息。
标识符
- CVE ID:CVE-2025-15056
- GHSA ID:GHSA-v3m3-f69x-jf25
- 源代码仓库:slab/quill
glyoVzOLZA9nMhz/bDHDAWzfRfZ0dSZtQUalpUyOmxdU1rjd1tTcxOc135y57LUIhn/cdypoAQ8wVFTu3C8w3A==
更多精彩内容 请关注我的个人公众号 公众号(办公AI智能小助手)
对网络安全、黑客技术感兴趣的朋友可以关注我的安全公众号(网络安全技术点滴分享)