关键信息 漏洞概述 漏洞类型: 存储型跨站脚本(XSS) 影响组件: 影响版本: - : <= 2.11.0 - : <= 0.11.0-beta 报告时间: 5小时前 CVE ID: CVE-2026-27973 漏洞细节 攻击向量: 1. 攻击者利用管理员权限向平台添加包含恶意元数据的元素(如 : ) 2. 用户搜索匹配文字将渲染未转义的图书title中的HTML,导致恶意图书标题中的 等标签被执行,触发了XSS漏洞。 真实攻击的影响: 盗取敏感数据(如登录令牌)、提升权限等。 修复建议 基于提供的 Paiw Patch信息,有两个修复建议: Option 1: 使用文本插值和CSS样式来替换 逻辑实现高亮: Option 2: 在呈现生效前通过引入 (通过 )等方式对HTML出进行安全过滤: 修复地址: advplyr/audiobookshelf-app@2c2b62