关键漏洞信息 漏洞类型 Stored Cross-Site Scripting (XSS) 影响版本 受影响版本: <= 2.33.6 修复版本: 2.33.7 描述 Markdown预览功能在File Browser v2.32.0中存在存储型跨站脚本(XSS)漏洞。用户上传的Markdown文件中的任意JavaScript代码将被浏览器执行。 影响 用户可以上传包含恶意HTML代码的Markdown文件,当其他用户在同一范围内点击该文件时,渲染的预览将打开并执行其中的JavaScript代码。 可能的恶意行为包括: - 获取用户的会话令牌 - 提升攻击者的权限,如果受害者是管理员(例如,获得命令执行权限) 漏洞描述 大多数Markdown解析器接受文档中的任意HTML并尝试相应地渲染它。例如,创建一个名为 的文件,内容如下: 加粗和斜体文本将被渲染,File Browser使用的渲染器还将尝试显示图像并在 事件处理程序中执行代码。 证明概念 截图显示上述文件中的代码已在受害者的浏览器中实际执行。 推荐的对策 最彻底的修复方法是重新配置应用程序的Markdown解析器以忽略所有HTML元素,仅渲染作为Markdown规范一部分的富文本。如果HTML渲染被认为是必需的功能,则应使用HTML清理器(如DOMPurify),最好与内容安全策略(CSP)结合使用。 时间线 2025-03-25: 在版本2.32.0中识别出漏洞 2025-04-11: 联系项目 2025-04-18: 向项目披露漏洞 2025-06-25: 将建议上传到项目的GitHub仓库 2025-06-28: GitHub分配CVE ID 2025-06-26: 修复发布于版本2.33.7 引用 [DOMPurify] 致谢 Mathias Tausig (SBA Research)