关键信息总结 漏洞概述 CVE编号: CVE-2025-56683 漏洞类型: DOM-based Cross-Site Scripting (XSS) 导致远程代码执行 (RCE) 受影响产品: Logseq 应用程序 技术细节 1. DOM-based XSS 漏洞 - 文件: - 行号: 82 - 描述: 在处理文档位置参数时,未对用户输入进行充分验证和编码,导致攻击者可以通过构造恶意URL注入JavaScript代码。 - 漏洞利用: 攻击者可以利用 这样的URL触发XSS。 2. 协议验证缺失 - 文件: - 行号: 123 - 描述: 函数在调用 之前没有检查URL的协议,允许任意协议的URL被打开。 - 漏洞利用: 攻击者可以构造如 或 这样的URL,导致本地文件读取或远程脚本加载。 CVSS v3.1 评分 基础评分: 9.0 (严重) 向量字符串: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H 漏洞证明 (PoC) 环境: Logseq Desktop Application v0.0.9, Windows 10 步骤: 1. 启动Logseq应用。 2. 安装并激活 插件。 3. 使用 构造URL。 4. 执行后,浏览器会弹出警告框。 推荐缓解措施 1. 对从查询参数获取的内容进行严格验证和编码。 2. 实施协议白名单,限制可打开的URL类型。 厂商响应与补丁信息 Logseq团队已确认漏洞,并发布修复版本。 补丁包括添加安全检查、引入协议白名单等措施。 时间线 2023-04-23: 发现漏洞并报告给Logseq支持团队。 2023-04-24: 确认漏洞存在并开始修复。 2023-04-28: 发布修复补丁。 2023-05-10: 公开披露安全公告。