关键信息 漏洞概述 漏洞类型: 存储型跨站脚本(XSS) 受影响产品: QGIS Web Client (QWC2) CVE编号: CVE-2025-11183 NTCF编号: NTCF-2025-4286 严重性: 中等 状态: 已修复 漏洞细节 发现日期: 2025-07-23 公开日期: 2025-10-13 易受攻击版本: <2025.08.14 修复版本: 2025.08.14 漏洞描述 属性表中的XSS漏洞: 在名称或描述字段中,用户输入未经过编码直接渲染,导致HTML/JS注入和XSS攻击。 示例代码: 概念验证 步骤: 1. 登录具有编辑权限的用户。 2. 打开编辑对话框。 3. 绘制任意线要素。 4. 打开属性表。 5. 设置名称或描述为 。 6. 触发XSS漏洞。 修复措施 修复提交: 7e44a9e57f315e619d8ae22c3c5b979e9b9de 修复方法: 使用DOMPurify对用户输入进行HTML净化。 补丁 推荐升级至最新版本: 2025.08.14 时间线 2025-06-05: 私密披露给厂商 2025-07-23: 初始发现 2025-08-14: 厂商修复 2025-10-13: 公开披露