Docmost 存储型 XSS 漏洞总结 漏洞概述 Docmost 在页面内容中接受附件 URL 时未进行适当的净化处理,导致低权限认证用户可以存储恶意的 URL。当其他用户查看该页面并点击附件链接时,攻击者控制的 JavaScript 代码将在 Docmost 的上下文中执行。 影响范围 受影响版本: 0.70.3 修复版本: 0.71.0 严重程度: 中等 (5.4 / 10) CVSS v3 基础指标: - 攻击向量: 网络 - 攻击复杂度: 低 - 所需权限: 低 - 用户交互: 必需 - 范围: 改变 - 机密性: 低 - 完整性: 低 - 可用性: 无 修复方案 升级到版本 0.71.0 以修复此漏洞。 相关代码路径 - 接受内容: - 转发页面创建/更新内容到页面服务 - 解析 JSON 页面内容,仅用于 schema 验证 - 不净化附件 URL 方案 - 将 URL 复制到 - 渲染带有 的锚点 - 渲染 - 返回未知方案不变 - 正常链接明确阻止 - 附件链接不应用相同的保护 不一致的信任边界 正常链接节点拒绝 附件节点接受并渲染 不变 结果 用户可以编辑页面以持久化恶意附件 URL,并影响任何稍后打开该页面并点击附件操作的用户。 PoC 在评论中。