Quill 因HTML导出功能易受XSS攻击 · CVE-2025-15056 · GitHub Advisory Database
漏洞详情
包管理器: npm 包名称: quill 受影响版本: = 2.0.3 已修补版本: 无
描述: Quill 的 HTML 导出功能中存在数据验证缺失漏洞,可导致跨站脚本(XSS)攻击。 此问题影响 Quill 版本:2.0.3。
参考链接:
时间线
- 国家漏洞数据库发布时间: 2026年1月13日
- GitHub Advisory Database 发布时间: 2026年1月13日
- 审核时间: 2026年1月16日
- 最后更新时间: 2026年1月16日
严重程度
等级: 低 CVSS 总体评分: 2.0 / 10
CVSS v4 基础指标
可利用性指标:
- 攻击向量: 网络
- 攻击复杂度: 低
- 攻击前提条件: 无
- 所需权限: 无
- 用户交互: 需要
受影响系统影响指标:
- 机密性影响: 无
- 完整性影响: 无
- 可用性影响: 无
后续系统影响指标:
- 机密性影响: 无
- 完整性影响: 低
- 可用性影响: 无
CVSS向量字符串: CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:A/VC:N/VI:N/VA:N/SC:N/SI:L/SA:N/E:P
EPSS 分数
EPSS 分数: 0.047% (第15百分位) 此分数估计了该漏洞在未来30天内被利用的概率。数据由FIRST提供。
弱点
弱点标识: CWE-74 弱点描述: 输出给下游组件使用的特殊元素中和不当(“注入”) 该产品使用来自上游组件的外部影响输入来构建全部或部分命令、数据结构或记录,但在将其发送到下游组件时,未能中和或错误地中和了可能修改其解析或解释方式的特殊元素。 在 MITRE 上了解更多信息。
标识符
- CVE ID: CVE-2025-15056
- GHSA ID: GHSA-v3m3-f69x-jf25
- 源代码仓库: slab/quill glyoVzOLZA9nMhz/bDHDAWzfRfZ0dSZtQUalpUyOmxdU1rjd1tTcxOc135y57LUIhn/cdypoAQ8wVFTu3C8w3A==
