漏洞概述 CVE编号: CVE-2026-54889 漏洞类型: 未 sanitization 的 URL 方案在 MDEEx Quill Delta 输出中允许 javascript: 注入(XSS) CVSS 4.0 评分: 5.1(中等) CWE: CWE-79 — CWE-79 在网页生成过程中对输入的未 sanitization(跨站脚本) CAPEC: CAPEC-244 — CAPEC-244 XSS 针对 URI 占位符 影响范围 受影响模块: - - 模块: , - 源文件: , - 例程: , , - 状态: 受影响 - 类型: server - 版本: 0.8.3 - 修复版本: < 0.13.2 - - 模块: , - 源文件: , - 例程: , , - 状态: 受影响 - 类型: git - 版本: 30520b2456 - 修复版本: 2017147f5b 修复方案 解决方法: - 在渲染之前,对 产生的 Quill Delta 进行 sanitization:删除或清空任何 或 值,其 URL 方案不在安全白名单中(http, https, mailto, tel)。 POC 代码 参考链接 GitHub Advisory OSV.dev Vulnerability GitHub Commit 致谢 发现者: Peter Ullrich 修复开发者: Leandro Pereira 分析师: Jonathan Männchen / EEF