关键信息 漏洞概述 漏洞名称: escapeParameterHtml does not prevent DOM-based XSS via tag attributes like onerror CVE ID: CVE-2025-53892 严重性: High 影响的包和版本 描述 摘要: - 选项在 Vue I18n 中用于通过转义插值参数来防止 HTML/脚本注入。然而,当插值值使用 在 HTML 上下文中插入时,该设置无法防止某些基于标签的有效载荷(如 )的执行。 - 即使启用了 ,如果翻译字符串包含少量 HTML 并通过 渲染,仍可能导致基于 DOM 的 XSS 漏洞。 详细信息: - 当启用 时,它会正确转义常见的注入点。 - 但是,它不会对整个属性上下文进行清理,这些上下文可以作为 XSS 向量使用,例如: PoC: - 在 Vue I18n 配置中: - 使用插值有效载荷: - 渲染翻译使用 : - 预期:转义的内容应以文本形式呈现,不执行。 - 实际:在某些环境中,脚本会执行(或部分解析为 HTML)。 影响: - 尽管启用了安全选项( ),这仍然创建了一个基于 DOM 的跨站脚本(XSS)漏洞。