Hi.Events v1.10.0-beta XSS via Event Title JSON.stringify Injection 漏洞概述 Hi.Events 版本 v1.10.0-beta 存在一个跨站脚本(XSS)漏洞。该漏洞允许攻击者通过创建或编辑事件,注入包含恶意 HTML 和 JavaScript 的标题。具体来说,攻击者可以构造一个包含 序列的事件标题,该序列在嵌入到内联脚本标签时不会被 转义。这会导致脚本上下文中的事件标题被破坏,从而在公共事件页面(包括未认证访问者和认证管理员)上执行恶意代码。 影响范围 受影响版本: Hi.Events < 1.11.0 CVSS 评分: 5.1 CVSS 向量: CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:R/PVC:N/VI:N/VA:N/SC:L/SI:L/UA:N 修复方案 参考链接: - Release Notes - GitHub Security Advisory - Pull Request - Patch Commit 利用代码