关键信息 漏洞详情 漏洞类型: 存储型XSS 影响范围: Number Prefix & Suffix 字段设置中的 Prefix 和 Suffix 字段 CVE ID: CVE-2026-25496 严重程度: 低 影响版本 受影版本: - - 修复版本: - - 漏洞描述 存储型XSS漏洞存在于Number字段类型设置中。Prefix和Suffix字段使用 Twig过滤器渲染,未进行适当转义,这允许用户在显示Number字段时执行脚本。 漏洞证明概念 权限要求 管理员访问权限 生产环境中启用 ,不符合安全建议 复现步骤 1. 以管理员身份登录 2. 导航至 3. 选择 作为字段类型 4. 将 字段设置为 5. 保存字段 6. 将此字段添加到任何元素,如用户档案字段( ) 7. 导航至您的账户( )或任何用户配置文件( ) 8. 查看表单时XSS执行 缓解措施 在渲染前对Prefix/Suffix进行转义,或使用 过滤器而不是 。 参考资料 cb5fb0e