漏洞概述 漏洞编号: CVE-2026-48591 漏洞类型: CWE-83 — CWE-83 Improper Neutralization of Script in Attributes in a Web Page CVSS 4.0 Score: 4.8 (MEDIUM) 漏洞描述: 在 库中, 函数在处理属性值时存在漏洞。该函数在两个字面量 之间拼接属性值,但属性值中的 字符会被转义为 ,而文本节点中的 字符则不会被转义。这导致攻击者可以通过构造包含 的 URL 或标题来闭合属性,从而注入恶意 JavaScript 代码。 影响范围 受影响模块: 源文件: 例程: 状态: 受影响 类型: server 版本: 1.4.1 修复状态: 无修复可用 修复方案 建议: 迁移到已维护的 Markdown 库,如 MDE。 包已在 Hex 上退休,不会发布补丁版本。 POC 代码 参考链接 OSV 漏洞页面 贡献者 发现者: Peter Ullrich 修复开发者: Robert Dober 分析师: Jonatan Männchen / EEF