Lack of Escaping of HTML in JSX Fragments allows for Cross-site Scripting in solid-js 漏洞信息(CVE-2025-27109)

一、漏洞 CVE-2025-27109 基础信息

AIGC 神龙大模型
美国国家漏洞数据库 NVD

漏洞标题

solid-js中JSX片段的HTML未进行转义导致跨站脚本漏洞

来源：AIGC 神龙大模型

漏洞描述信息

Solid-js 是一个声明式、高效且灵活的 JavaScript 库，用于构建用户界面。在受此漏洞影响的版本中，非法内联 JSX 片段内的插入/JSX 表达式缺乏转义处理，导致用户输入在直接放置于 JSX 片段内时被解析为 HTML。此问题已在版本 1.9.4 中得到解决，建议所有用户进行升级。此漏洞目前没有已知的缓解措施。

来源：AIGC 神龙大模型

CVSS信息

CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N

来源：AIGC 神龙大模型

漏洞类别

在Web页面生成时对输入的转义处理不恰当(跨站脚本)

来源：AIGC 神龙大模型

漏洞标题

Lack of Escaping of HTML in JSX Fragments allows for Cross-site Scripting in solid-js

来源：美国国家漏洞数据库 NVD

漏洞描述信息

solid-js is a declarative, efficient, and flexible JavaScript library for building user interfaces. In affected versions Inserts/JSX expressions inside illegal inlined JSX fragments lacked escaping, allowing user input to be rendered as HTML when put directly inside JSX fragments. This issue has been addressed in version 1.9.4 and all users are advised to upgrade. There are no known workarounds for this vulnerability.

来源：美国国家漏洞数据库 NVD

CVSS信息

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:L

来源：美国国家漏洞数据库 NVD

漏洞类别

对输出编码和转义不恰当

来源：美国国家漏洞数据库 NVD

二、漏洞 CVE-2025-27109 的公开POC

#	POC 描述	源链接	神龙链接

三、漏洞 CVE-2025-27109 的情报信息

标题： Lack of Escaping of HTML in JSX Fragments allows for XSS · Advisory · solidjs/solid · GitHub -- 🔗来源链接

标签： x_refsource_CONFIRM
标题： fix escaping in resolution done outside of DOM Expressions · solidjs/solid@b93956f · GitHub -- 🔗来源链接

标签： x_refsource_MISC
https://nvd.nist.gov/vuln/detail/CVE-2025-27109

一、 漏洞 CVE-2025-27109 基础信息

漏洞标题

漏洞描述信息

CVSS信息

漏洞类别

漏洞标题

漏洞描述信息

CVSS信息

漏洞类别

二、漏洞 CVE-2025-27109 的公开POC

三、漏洞 CVE-2025-27109 的情报信息

一、漏洞 CVE-2025-27109 基础信息