关键漏洞信息 漏洞类型: Reflected HTML Injection 影响的版本: <= v1.1.0 修复版本: v2.0.0 CVE ID: CVE-2026-27116 CVSS Score: 6.1 (Medium) 受影响组件: 漏洞利用方式: SVG Phishing Button Phishing Link via Heading + Anchor Content Spoofing – Fake Security Alert 根本原因: 参数插入DOM时作为原始HTML,存在未过滤的SVG/anchor/formatting元素。 修复措施: 1. 将 替换为 或 插值(自动转义HTML) 2. HTML实体编码 参数值 3. 用DOMPurify替换黑名单或消除HTML渲染 4. 部署CSP,限制 为 5. 服务器端输入验证,拒绝不符合预期语法的 值 总结: 此漏洞允许攻击者通过URL传递的payload执行反射型HTML注入,影响用户通过常规操作访问应用的功能界面,并可能引发进一步攻击。建议用户尽快升级至修复版本v2.0.0以避免风险。