EEF-CVE-2026-53427 漏洞概述 漏洞名称: Cross-site scripting in MDEd via unescaped highlight_lines_class code-fence attribute 漏洞类型: 跨站脚本(XSS) 严重程度: 低(CVSS 4.0) 发布日期: 2026-06-29 修改日期: 2026-06-30 影响组件: MDEd(Markdown编辑器) 影响范围 当启用 时,Lumis适配器会复制代码围栏的 属性值,并将其直接插入到每行的类属性中。 攻击者可以通过提交包含恶意Markdown内容的评论、帖子、Wiki页面、文档或用户生成内容,注入任意HTML和JavaScript代码。 所有查看渲染输出的用户都可能受到攻击,导致会话劫持、账户接管和其他客户端侧攻击。 不需要身份验证或特殊权限。 修复方案 升级到最新版本: - 从 0.11.3 之前升级到 0.12.3 之后 - 从 0.1.0 之前升级到 0.2.3 之后 或者,在渲染不受信任的Markdown时,禁用 选项。 POC代码 工作区 在渲染不受信任的Markdown时,禁用 选项。