关键信息 漏洞描述 漏洞类型: Cross-Site Scripting (XSS) through unescaped HTML attribute values 描述: gem 在处理恶意 HTML 属性值时存在 XSS 漏洞。虽然标签内容被正确转义,但属性值未被转义,允许攻击者注入任意 JavaScript 代码。 影响范围 受影响的版本: < 0.2.1 已修复版本: 0.2.1 受影响的应用程序: 使用 将 ProseMirror 文档转换为 HTML 的任何应用;处理用户生成的 ProseMirror 内容的应用风险最高;查看渲染 HTML 输出的最终用户可能会在浏览器中执行恶意 JavaScript。 攻击向量 属性使用 协议: 事件处理器: 图像上的 属性: 其他可以执行 JavaScript 的 HTML 属性 修复措施 升级版本: 用户应升级到 0.2.1 或更高版本。 修复细节: 修补程序使用 转义所有 HTML 属性值,以防止注入攻击。 缓解措施(在补丁版本发布前) 1. 输出清理: 使用 或 等清理库处理 HTML 输出。 2. 实施内容安全策略 (CSP): 添加严格的 CSP 标头以防止内联 JavaScript 执行。 3. 输入验证: 在转换前验证和清理 ProseMirror 文档,防止恶意内容进入系统。 引用 OWASP XSS Prevention Cheat Sheet CWE-79: Improper Neutralization of Input During Web Page Generation 严重性 CVSS评分: 7.6/10,高危 CVSS ID: CVE-2025-64501 漏洞类别: CWE-79