关键漏洞信息 漏洞类型: 跨站脚本(XSS)漏洞 严重程度: 高(CVSS v4 Base Score: 8.7/10) 影响版本: < 0.14.0 修复版本: 0.14.0 CVE ID: CVE-2026-22787 相关弱点: CWE-79 描述与影响 描述: 当给定一个文本源而不是元素时,html2pdf.js 包含一个跨站脚本(XSS)漏洞。在附加到 DOM 之前,此文本没有进行充分的净化,允许恶意脚本在客户端浏览器上运行,风险页面数据的机密性、完整性和可用性。 示例攻击向量: 修复与补丁 修复措施: 此漏洞在 html2pdf.js@0.14.0 中得到了修复,通过使用 DOMPurify 来净化文本源。此版本中没有其他破坏性更改。 临时解决方法: 使用早期版本的 html2pdf.js 的用户必须在将其用作 html2pdf.js 中的源之前,安全地净化任何文本。 引用 初始报告: #865 修复: #877, v0.14.0 CVE-2026-22787: https://nvd.nist.gov/vuln/detail/CVE-2026-22787 额外信息 发布者: eKoopmans 发布日期: 上周 漏洞编号: GHSA-w8x4-x68c-m6fc