支持本站 — 捐款将帮助我们持续运营

目标:1000 元,已筹:736

73.6%
立即捐款
一、 漏洞 CVE-2025-15056 基础信息
漏洞信息
                                        # Quill 2.0.3 HTML导出XSS漏洞

## 概述
Quill 的 HTML 导出功能中存在数据验证缺失漏洞,可导致跨站脚本攻击(XSS)。

## 影响版本
- Quill 2.0.3

## 细节
该漏洞源于 HTML 导出功能未对用户输入内容进行充分验证和转义。攻击者可构造恶意内容,在导出为 HTML 时嵌入恶意脚本。

## 影响
成功利用该漏洞可在受害者浏览器中执行任意 JavaScript 代码,可能导致会话劫持、敏感信息泄露或页面内容篡改。
神龙判断

是否为 Web 类漏洞: 未知

判断理由:

N/A
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
Quill 2.0.3 - Lack of data validation in HTML export allowing XSS
来源:美国国家漏洞数据库 NVD
漏洞描述信息
A lack of data validation vulnerability in the HTML export feature in Quill in allows Cross-Site Scripting (XSS). This issue affects Quill: 2.0.3.
来源:美国国家漏洞数据库 NVD
CVSS信息
N/A
来源:美国国家漏洞数据库 NVD
漏洞类别
输出中的特殊元素转义处理不恰当(注入)
来源:美国国家漏洞数据库 NVD
漏洞标题
Quill 注入漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
Quill是Quill开源的一个应用软件。提供应用编辑器功能。 Quill 2.0.3版本存在注入漏洞,该漏洞源于HTML导出功能缺少数据验证,可能导致跨站脚本攻击。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
注入
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2025-15056 的公开POC
#POC 描述源链接神龙链接
三、漏洞 CVE-2025-15056 的情报信息

  • 标题: GitHub - slab/quill: Quill is a modern WYSIWYG editor built for compatibility and extensibility -- 🔗来源链接

    标签:product

    神龙速读:
                                            以下是关于Quill的漏洞或潜在安全问题的关键信息:

- **代码仓库的状态**:
  - 仓库报告了2.0.3作为package.json中的版本,表明代码使用的是旧版本。考虑到漏洞可能没有被修复,大家可能需要关注后续版本之间的变更记录。
  
- **注意的事项**:
  - Quill是一个DEVMODEL开源软件,使用BSD-3-Clause许可证。如果在实际应用中察觉到潜在风险,可沟通该许可证的信息来规避版权纠纷风险。

未在截图中有直接表明存在漏洞。注意去讨论区或新版本公告提及相关漏洞可能的修复方式。
    GitHub - slab/quill: Quill is a modern WYSIWYG editor built for compatibility and extensibility

  • 标题: Quill 2.0.3 - Lack of data validation in HTML export allowing XSS | Fluid Attacks -- 🔗来源链接

    标签:third-party-advisory

    神龙速读:
                                            # Quill 2.0.3 - Lack of data validation in HTML export allowing XSS

## Key Information

- **Severity**: 5.1 (Medium)
- **Discovered by**: Cristian Vargas (Offensive Team, Fluid Attacks)
- **Release Date**: Jan 13, 2026
- **Affected Product**: Quill
- **CVE ID**: CVE-2025-15056
- **Exploit Available**: No

## Vulnerability Details

- **Root Cause**: Embedded elements interpolate user-controlled values directly into HTML strings returned by `html()` without escaping or sanitization.
- **Vulnerable Export Path**: `packages/quill/src/core/editor.ts` → `convertHTML()` uses blot-provided HTML if `html()` exists.
- **Vulnerable Blots**:
  - `formula.ts` → `html()`: Returns `<span>${formula}</span>` (unescaped).
  - `video.ts` → `html()`: Returns `<a href="${video}">${video}</a>` (unescaped).

## PoC

- Host the provided HTML code in a web server.
- The formula and video values are controlled by user input. Specific values can break the expected markup and inject malicious attributes.

## Timeline

- Dec 19, 2025: Vulnerability discovered
- Dec 23, 2025: Vendor contacted
- Jan 13, 2026: Public disclosure

## References

- [GitHub Repository](https://github.com/slab/quill)
    Quill 2.0.3 - Lack of data validation in HTML export allowing XSS | Fluid Attacks
  • https://nvd.nist.gov/vuln/detail/CVE-2025-15056
四、漏洞 CVE-2025-15056 的评论

暂无评论

发表评论