关键漏洞信息 1. GCVE-1-2025-0018 摘要: HTML 注入问题在 Lookyloo 的 Web 接口辅助函数 (位于 ) 中被识别。此函数用于截断和渲染用户控制的值在 HTML 内(例如在 属性中),但未先转义字符串。这允许恶意输入包含 HTML 注入到呈现页面。在标准 Lookyloo 配置中,配置的 CSP 显著限制了影响并防止在大多数情况下直接脚本执行,但如果 CSP 被放宽或修改,潜在的 HTML 注入漏洞可能被利用。 严重性: - 评分: 9.4 (严重) - 向量: CWE: CWE-74 - 特殊元素在下游组件输出中未正确中和(注入) 受影响的产品: - 供应商: Lookyloo - 产品: Lookyloo - 版本: ≤ 1.35.0 --- 2. CVE-2025-65095 (GCVE-0-2025-65095) 摘要: Lookyloo 是一个允许用户捕获网站页面并展示域名树的 Web 接口。在 1.35.1 版本之前,索引和树页面存在潜在的跨站脚本 (XSS) 问题,此问题已在 1.35.1 版本中修复。 严重性: - 评分: 9.4 (严重) - 向量: CWE: CWE-79 - Web 页面生成期间输入未正确中和(跨站脚本) 受影响的产品: - 供应商: Lookyloo - 产品: Lookyloo - 版本: < 1.35.1