漏洞关键信息 漏洞类型: 存储型跨站脚本(XSS) 影响范围: - 受影响版本: =v1.10.34, >=v2.0.17 描述: - 总结: 1Panel App Store 在查看应用详情时存在存储型跨站脚本(XSS)漏洞。恶意脚本可以在用户浏览器上下文中执行,可能危及会话数据或敏感系统接口。 影响: - 所有版本的 1Panel(包括 v2.0.16 及之前版本)都受到影响。攻击者可以发布一个恶意应用,当用户(本地或远程)加载时,可以执行任意脚本。这可能导致用户cookie被窃、未经授权访问系统功能,或其他危及系统保密性、完整性和可用性的行为。 详细信息: - 漏洞由 MdEditor 组件处理、渲染内容时安全性不足引起,特别是在 属性启用的情况下。 - App Store 渲染应用 README 内容时,未进行适当的XSS防御,允许在内容渲染时执行脚本。 - 系统升级相关组件中存在类似问题,可通过在 MdEditor 组件中实施适当的XSS防御和内容净化加以修复。 修复建议: - 应用正确的XSS防御和在渲染内容中MEditor组件进行适当的内容净化来解决漏洞。 CVE ID: CVE-2026-23525 严重性: 中等 - CVSS v3 基础指标: - 攻击向量: 网络 - 攻击复杂度: 高 - 所需权限: 高 - 用户交互: 需要 - 影响范围: 不变 - 机密性: 高 - 完整性: 高 - 可用性: 高