关键信息 漏洞类型 Limited stored XSS via uploaded HTML file 影响版本 Affected versions: 0.6.5 Patched versions: None 漏洞描述 Summary: 低权限用户可以上传包含JavaScript代码的HTML文件,通过 后端端点触发浏览器中的JavaScript代码。 Impact: 低权限用户上传的文件只能由管理员或上传者查看,限制了漏洞的影响。 技术细节 HTTP Request: Response: 影响范围 CVE ID: CVE-2025-46571 Weaknesses: CWE-87 报告人 Credits: choket 验证方法 使用上述HTTP请求上传包含恶意JavaScript代码的HTML文件,然后使用返回的ID在浏览器中查看文件。