vue-element-admin
vue-element-admin copied to clipboard
基于 Markdown 的 XSS 注入
Payload:
<p><svg><svg onload=onload=alert('xss')></svg></svg></p>
PoC:
![](https://user-images.githubusercontent.com/64241518/236119720-b4f43078-3f8c-476c-9c62-0e3e7b663cd9.png)
其它:
看起来这个项目已经不咋维护了,这个 Issue 的目的是提醒使用这个项目的开发者注意 XSS 问题。
这个问题修复起来很简单,升级一下 Markdown Editor 就行了。
另外,一堆 Vue Admin 项目的 Markdown Editor 都能 XSS,使用奇怪的 Markdown Editor 时建议检查其是否有白名单过滤。