支持本站 — 捐款将帮助我们持续运营

目标:1000 元,已筹:736

73.6%
立即捐款
一、 漏洞 CVE-2026-0858 基础信息
漏洞信息
                                        # N/A

## 概述
net.sourceforge.plantuml:plantuml 在 1.2026.0 之前的版本中存在存储型跨站脚本(Stored XSS)漏洞。

## 影响版本
版本低于 1.2026.0 的 net.sourceforge.plantuml:plantuml。

## 细节
该漏洞源于对 GraphViz 图形中交互属性的过滤不足。攻击者可构造恶意 PlantUML 图,使其生成的 SVG 输出包含未经净化的 JavaScript 代码。

## 影响
当受影响应用渲染含有恶意脚本的 SVG 时,可导致任意 JavaScript 在用户浏览器上下文中执行,造成敏感信息泄露或会话劫持等风险。
神龙判断

是否为 Web 类漏洞: 未知

判断理由:

N/A
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
N/A
来源:美国国家漏洞数据库 NVD
漏洞描述信息
Versions of the package net.sourceforge.plantuml:plantuml before 1.2026.0 are vulnerable to Stored XSS due to insufficient sanitization of interactive attributes in GraphViz diagrams. As a result, a crafted PlantUML diagram can inject malicious JavaScript into generated SVG output, leading to arbitrary script execution in the context of applications that render the SVG.
来源:美国国家漏洞数据库 NVD
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N
来源:美国国家漏洞数据库 NVD
漏洞类别
在Web页面生成时对输入的转义处理不恰当(跨站脚本)
来源:美国国家漏洞数据库 NVD
二、漏洞 CVE-2026-0858 的公开POC
#POC 描述源链接神龙链接
三、漏洞 CVE-2026-0858 的情报信息

  • 标题: Release v1.2026.0 · plantuml/plantuml · GitHub -- 🔗来源链接

    标签:

    神龙速读:
                                            ### 关键信息

#### 版本
- **版本号**: v1.2026.0
- **发布日期**: 上周

#### 更新内容
- **变更记录**: 根据 v1.2025.10 更新 CHANGES.md 文件
- **新功能与修复**:
    - 添加重复标签以指示钻石内部图形的循环
    - 连接器从开关平铺创建指向不同泳道中的不同平铺的箭头
    - 垂直居中单个AtomText并修复cuca高度
    - 连接器正确地从开关平铺连接
    - 图表支持线条连接器的水平文本对齐调整
    - 增加了依赖包版本更新
    - 增加活动图的风格支持和属性支持
    - 允许空分支在心智图
    - 添加链接类型属性的支持在SVG

#### 新贡献者
- @AlexJauregui02
- @fcnjd
    Release v1.2026.0 · plantuml/plantuml · GitHub

  • 标题: 🔒 remove SVG export for PSystemDot · plantuml/plantuml@6826315 · GitHub -- 🔗来源链接

    标签:

    神龙速读:
                                            从截图中的 Commit 消息和代码变更可以获取到以下与漏洞关键信息相关的点:

- **SVG Export Removal**:
    - Commit 消息明确指出“remove SVG export for PSystemDot”,这意味着 SVG 导出功能已被移除。
    - 可能的原因是该功能存在安全风险,例如跨站脚本(XSS)攻击。

- **Code Changes**:
    - 代码变更中移除了与 JavaScript 和脚本标签相关的过滤器函数 `filter` 和 `sanitizeDotAttribute`,这些函数主要用于防止恶意脚本注入。
    - `filter` 函数原本用于移除 JavaScript 和脚本标签。
    - `sanitizeDotAttribute` 函数及其辅助函数 `sanitizeAttributeValue` 用于对特定属性进行清洗,以防止注入攻击。

- **Implication for Security**:
    - 移除这些过滤和清理函数可能暗示原来这些函数用于防御潜在的代码注入攻击,特别是针对 SVG 输出,因为 SVG 文件可以包含可执行的脚本。
    - 由于这些函数被移除,可以推断 SVG 输出功能可能引起了安全问题,移除它是作为一种安全措施。

这类变更通常是为了修复已知的安全漏洞或预防潜在的安全风险,尤其是在公开项目中,这样的改动通常会伴随相应的安全公告或释义在项目的“Security”标签下或其他相关文档中。
    🔒 remove SVG export for PSystemDot · plantuml/plantuml@6826315 · GitHub

  • 标题: Stored XSS in net.sourceforge.plantuml:plantuml | CVE-2026-0858 | Snyk -- 🔗来源链接

    标签:

    神龙速读:
                                            - **Package Affected:** net.sourceforge.plantuml:plantuml  
- **CVE Identifier:** CVE-2026-0858  
- **Exploit Maturity:** PROOF OF CONCEPT  
- **CVSS Base Score:** 5.1  
- **Severity:** Medium  
- **CVSS Vectors:**  
    - Attack Vector (AV): Network  
    - Attack Complexity (AC): Low  
    - Attack Requirements (AT): None  
    - Privileges Required (PR): None  
    - User Interaction (UI): Active  
    - Confidentiality (VC): None  
    - Integrity (VI): Low  
    - Availability (VA): None  
    - Confidentiality (SC): Low  
    - Integrity (SI): Low  
    - Availability (SA): None  
- **Recommended Action:** Upgrade to version 1.2026.0 or higher.  
- **Introduced Date:** 23 Dec 2025  
- **Published Date:** 15 Jan 2026  
- **Disclosed Date:** 23 Dec 2025  
- **Credit:** Catalin Iovita (Snyk Security Research)  
- **References:**  
    - GitHub Commit  
    - GitHub Release
    Stored XSS in net.sourceforge.plantuml:plantuml | CVE-2026-0858 | Snyk
  • https://nvd.nist.gov/vuln/detail/CVE-2026-0858
四、漏洞 CVE-2026-0858 的评论

暂无评论

发表评论