漏洞概述 该漏洞涉及在API部分字段验证中未强制执行XSS安全检查。具体来说, 方法被调用,但 未被执行,导致非超级管理员用户可以在页面Markdown中注入未过滤的事件处理程序(如 ),并在任何用户会话中执行,包括管理员会话。 影响范围 受影响的路径: 、 和 。 受影响的功能:页面和账户内容通过API保存时,未进行跨站脚本(XSS)检查。 潜在风险:非超级管理员用户可以存储前端边界本身的事件处理程序,从而在管理员会话中执行恶意代码。 修复方案 1. 更新 方法: - 在 中, 方法现在运行 以匹配核心 的安全性。 - 添加了 (admin.super)和 ,使行为与经典管理员一致。 2. 添加测试用例: - 在 中添加了多个测试用例,确保XSS安全检查正确执行。 - 测试用例包括: - - - POC代码 总结 该漏洞通过在API部分字段验证中未强制执行XSS安全检查,导致非超级管理员用户可以在页面Markdown中注入未过滤的事件处理程序。修复方案包括更新 方法并添加相应的测试用例,确保XSS安全检查正确执行。