关键漏洞信息 漏洞概述 名称: XSS On Environment Name 严重性: 高 (8.7/10) CVE ID: CVE-2025-30210 CWE: CWE-80 影响版本与修复版本 受影响版本: >= 1.38.0 < 1.39.1 已修复版本: 1.39.1 漏洞描述 攻击范围: 用户从不可信或恶意来源导入集合文件时,通过用户交互(下载并打开外部提供的恶意Bruno或Postman集合导出文件,并将鼠标悬停在环境名称上)触发。 缓解措施: - 避免从未知或可疑来源导入集合文件。 - 在导入前验证集合的来源和真实性。 - 使用包含关键安全补丁的更新版本的Bruno应用(v1.39.1或更高版本)。 威胁分析 问题原因: Collection Environments和Global Environments中的名称悬停时显示的自定义工具提示组件内部使用 设置内容为原始HTML,导致DOM注入。 影响: 结合宽松的Content Security Policy限制,允许任何有效的内联脚本在悬停时执行。 潜在风险: 攻击者可以运行任意脚本,访问用户系统上的文件,甚至可能实现远程代码执行(RCE)。 利用方法 攻击者可以创建恶意的Bruno集合或Postman集合导出文件。 诱使用户下载并打开该文件。 用户打开集合、导航并悬停在环境名称上时,利用代码将执行。 修复措施 确保工具提示不使用原始HTML作为内容。 加强Content Security Policy。 这些修复措施在v1.39.1中发布。