vue-element-admin icon indicating copy to clipboard operation
vue-element-admin copied to clipboard

Published 20 hours ago verified publisher icon PanJiaChen

基于 Markdown 的 XSS 注入

Open Chenrt-ggx opened this issue 1 year ago • 0 comments

Payload:

<p><svg><svg onload=onload=alert('xss')></svg></svg></p>

PoC:

其它:

看起来这个项目已经不咋维护了,这个 Issue 的目的是提醒使用这个项目的开发者注意 XSS 问题。

这个问题修复起来很简单,升级一下 Markdown Editor 就行了。

另外,一堆 Vue Admin 项目的 Markdown Editor 都能 XSS,使用奇怪的 Markdown Editor 时建议检查其是否有白名单过滤。

Chenrt-ggx avatar May 04 '23 05:05 Chenrt-ggx