关键漏洞信息 漏洞类型: XSS 漏洞描述: 通过不受信任的方法名称在 中执行代码注入。 受影响版本: <= 3.7.1 修复版本: 3.8.0 漏洞详情 概要 多个 NiceGUI API 在客户端元素上执行方法时(如 、 、 等),在 JavaScript 侧的 函数中使用 回退。当用户控制的输入作为方法名称传递时,攻击者可以注入任意 JavaScript,在受害者的浏览器中执行。 此外, 和 使用字符串插值而不是 来处理方法/属性名称,允许进行引号注入,从而跳出预期的字符串上下文。 攻击向量 攻击者构造一个带有恶意 URL 的payload,作为查询参数传递。如果应用程序将此参数作为方法名称传递给任何受影响的 API,payload 将通过 WebSocket 发送到客户端,并通过 执行。 示例: 结合应用程序代码: 影响 Cookie/令牌窃取 DOM 操纵(钓鱼、虚假登录表单) 以受害者用户身份执行操作 受影响的方法 1. 2. 3. 4. 5. 6. 7. 8. 9. 10. 修复措施 1. 在 和 中使用 对方法/属性名称进行适当的转义。 2. 去除 中的 回退——未在元素上找到的方法名称现在会引发错误,而不是作为任意 JavaScript 执行。 迁移 以前传递 JavaScript 函数作为方法名称的代码需要改用 : 相关信息 CVE ID: CVE-2026-27156 CVSS 评分: 6.1/10 严重性: 中等