关键信息 漏洞类型: XSS (跨站脚本攻击) 影响范围: RSS widgets 中的 RSS feed 内容 CVSS 评分: 4.8 (CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:C/C:N/I:L/A:S) 提交人: Thomas Gerbet 提交日期: 2025-03-20 15:01 最后修改日期: 2025-03-31 10:17 状态: Closed 关闭日期: 2025-03-31 漏洞详情 摘要: 通过 RSS feeds 的内容在 RSS widgets 中触发 XSS。 原始提交: RSS feed 条目的 URL 在渲染前未进行清理。 影响: 项目管理员或控制已用 RSS feed 的人员可利用此漏洞强制受害者执行不受控代码。 利用步骤: 1. 创建包含特定内容的 RSS feed。 2. 创建链接到该 RSS feed 的 RSS widget。 3. 直接访问 widget 内容。 参考资料 CVE 编号: CVE-2025-30203 相关请求: #42261, #411092 Git 提交: 54ccec3 跟踪记录 公开披露: 由 Thomas Gerbet 进行。 CVE 分配: CVE-2025-30203 已分配给此问题。 修复状态: 已修复并交付。