漏洞概述 Forgejo < 15.0.3 存在一个存储型跨站脚本(XSS)漏洞,攻击者可以通过设置包含HTML有效载荷的全名并触发Actions运行来执行任意JavaScript代码。当启用 选项时,运行描述会在服务器端使用用户的显示名称组装成HTML字符串,并通过一个不转义参数的翻译函数进行插值。前端使用Vue v-html绑定渲染结果,导致任何查看受影响Actions运行页面的人都会执行脚本。 影响范围 受影响版本: Forgejo < 15.0.3 严重程度: 低 发布日期: 2026年7月2日 CVE编号: CVE-2026-59102 CWE编号: CWE-79 不当输入中和(跨站脚本) CVSS评分: 2.1 CVSS向量: CVSS:4.0/AV:N/AC:L/AT:P/PR:L/UI:R/VC:N/VI:N/VA:N/SC:L/SI:L/SA:N 修复方案 参考链接: - Release Notes - Researcher Disclosure - Fix PR 描述 Forgejo在15.0.3版本之前存在一个存储型跨站脚本漏洞,允许经过身份验证的攻击者通过在用户浏览器中设置包含HTML有效载荷的全名并触发Actions运行来执行任意JavaScript代码。当启用 选项时,运行描述会在服务器端使用用户的显示名称组装成HTML字符串,并通过一个不转义参数的翻译函数进行插值。前端使用Vue v-html绑定渲染结果,导致任何查看受影响Actions运行页面的人都会执行脚本。 POC代码 页面中未提供具体的POC代码或利用代码。