一、 漏洞 CVE-2026-23769 基础信息
漏洞信息
# N/A
## 概述
lucy-xss-filter 在提交 e5826c0 之前存在漏洞,因默认配置的超集规则文件不正确,导致XSS过滤不充分。
## 影响版本
提交 e5826c0 之前的 lucy-xss-filter 版本
## 细节
漏洞源于默认使用的规则文件配置不当,未能正确覆盖所有潜在的恶意脚本输入场景,导致输入过滤不完整,允许攻击者注入恶意 JavaScript 代码。
## 影响
攻击者可利用该漏洞在受影响的应用中执行任意 JavaScript 代码,可能导致会话劫持、敏感信息泄露等安全问题。
神龙判断
是否为 Web 类漏洞: 未知
判断理由:
N/A
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
N/A
来源:美国国家漏洞数据库 NVD
漏洞描述信息
lucy-xss-filter before commit e5826c0 allows an attacker to execute malicious JavaScript due to improper sanitization caused by misconfigured default superset rule files.
来源:美国国家漏洞数据库 NVD
CVSS信息
N/A
来源:美国国家漏洞数据库 NVD
漏洞类别
在Web页面生成时对输入的转义处理不恰当(跨站脚本)
来源:美国国家漏洞数据库 NVD
二、漏洞 CVE-2026-23769 的公开POC
| # | POC 描述 | 源链接 | 神龙链接 |
|---|
三、漏洞 CVE-2026-23769 的情报信息
标题: Update superset by koyokr · Pull Request #32 · naver/lucy-xss-filter · GitHub -- 🔗来源链接
标签:mitigation
神龙速读:### 关键信息总结 - **漏洞相关仓库**: - naver/lucy-xss-filter,已被存档为公开存档。 - **关键更新 #32**: - 合并了3个提交,用于更新`superset`中的URI相关属性。 - **提交细节**: - 提交者:koyokr - 时间:8个月前 - 内容: - 添加模式以处理`superset`中的URI值属性。 - 增强`formaction`属性的规则。 - 添加`form`标签`action`属性的规则。 - **合并信息**: - benelog于2025年6月9日将此更改合并到`naver:master`分支。 - **评论**: - koyokr和benelog的评论均为韩语,表达了对更新的感谢。 - 更新成功后,可能会关闭一些相关的问题。 这项工作针对XSS(跨站脚本攻击)进行了相关的代码修正与增强,重点在于对`superset`模组中与URI相关的属性处理方式进行了改进,增加了安全规则,以减少潜在的攻击面。
标题: NAVER Security Advisory -- 🔗来源链接
标签:vendor-advisory
神龙速读:## 关键信息 - **CVE ID**: CVE-2026-23769 - **漏洞描述**: lucy-xss-filter 在 commit e5826c0 之前的版本允许攻击者执行恶意的 JavaScript,原因是默认超集规则文件配置不当导致的不当 sanitize。 - **致谢**: 感谢 Younghun Ko 的报告。
- https://nvd.nist.gov/vuln/detail/CVE-2026-23769
四、漏洞 CVE-2026-23769 的评论
暂无评论