关键漏洞信息 漏洞类型: XSS (跨站脚本攻击) 影响版本: 6.0-rc1, 5.4.5 组件: Syntax - xhtml/1.0 & html/4.01 优先级: 阻塞 (Blocker) 修复版本: 14.10 标签: attack_xss, attacker_account, security 开发优先级: 高 (High) 描述与复现步骤 复现步骤: 1. 打开你的用户配置文件并使用wiki编辑器。 2. 使用开发者工具选择语法选择(名称为syntaxId),然后将所选条目的值更改为xdom+xml/current。 3. 点击“保存并查看”。 4. 在常规编辑器中编辑用户配置文件,切换到源代码模式,并将源代码更改为以下内容: 主要部分是 ,但元数据是必要的以避免空指针访问。 5. 点击“保存并查看”。 预期结果: 保存后不显示任何警告。