漏洞总结:360°全景查看器中的OCR文本存储型XSS 漏洞概述 这是一个存储型跨站脚本攻击(Stored XSS)漏洞。在360°全景查看器中,当启用OCR(光学字符识别)覆盖层时,任何经过身份验证的用户都可以上传包含恶意JavaScript代码的全景图。 攻击者上传包含构造文本的等距圆柱形图像,OCR提取文本后,全景查看器组件 会直接将提取的文本通过 插入到HTML模板字符串中,而未经过任何转义或 sanitization(清洗)。 这导致攻击者可以执行任意JavaScript代码,进而实现会话劫持(通过持久化API密钥)、隐私照片泄露以及获取GPS位置历史等生物识别数据。 影响范围 受影响组件: 受影响版本: CVSS评分: High (7.3 / 10) 攻击向量: Local (本地) 攻击复杂度: Low (低) 所需权限: Low (低) 修复方案 修复版本: 升级至 版本。 漏洞代码 (Vulnerable Code) 1. 前端渲染代码 ( ) 该组件构建OCR工具提示内容时,直接将 插入到HTML模板字符串中: 2. 后端数据来源 ( ) 数据来源于PaddleOCR管道,该管道存储原始模型输出而未进行清洗: 注意:** 普通的(非全景)照片查看器不受影响,因为它使用Svelte的 模板语法自动转义HTML。只有全景查看器路径绕过了此安全组件并手动构建HTML。