关键信息 漏洞类型: XSS via SVG CVE ID: CVE-2025-58361 严重性: Critical (9.3/10) 受影响的包: promptcraft-forge-studio 受影响的版本: All commits prior to 修复版本: None 描述 摘要: - 用户控制的URL通过 ,但检查仅剥离 和一些模式。 URL(例如 )仍然可以通过。如果在 中使用了清理后的值,攻击者可以执行脚本(XSS)。 影响: - 在应用程序的源中任意执行JavaScript(窃取令牌、以用户身份执行操作)。通常需要点击或渲染伪造的URL。 概念验证: - 使用输入如: - 如果应用程序在 中使用了清理后的值,脚本可以运行。 修复建议 允许列表方案: 其他建议: - 可选地保留HTML实体转义,但不要依赖正则表达式来处理方案。 - 避免将不受信任的字符串传递给危险的 。 - 考虑添加单元测试以覆盖各种情况。 - 修补清理器并发布修复,搜索所有使用清理后URL的调用站点,并添加测试。