Quill富文本编辑器HTML导出功能存在XSS漏洞分析

Quill 因HTML导出功能易受XSS攻击 · CVE-2025-15056 · GitHub Advisory Database

漏洞详情

包管理器：npm
包名称：quill
受影响版本：= 2.0.3
已修补版本：无

描述：
Quill 的 HTML 导出功能中存在数据验证缺失漏洞，可导致跨站脚本（XSS）攻击。
此问题影响 Quill 版本：2.0.3。

参考链接：

• https://nvd.nist.gov/vuln/detail/CVE-2025-15056
• https://fluidattacks.com/advisories/diomedes
• https://github.com/slab/quill

时间线

• 国家漏洞数据库发布时间：2026年1月13日
• GitHub Advisory Database 发布时间：2026年1月13日
• 审核时间：2026年1月16日
• 最后更新时间：2026年1月16日

严重程度

等级：低
CVSS 总体评分：2.0 / 10

CVSS v4 基础指标

可利用性指标：

• 攻击向量：网络
• 攻击复杂度：低
• 攻击前提条件：无
• 所需权限：无
• 用户交互：需要

受影响系统影响指标：

• 机密性影响：无
• 完整性影响：无
• 可用性影响：无

后续系统影响指标：

• 机密性影响：无
• 完整性影响：低
• 可用性影响：无

CVSS向量字符串：
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:A/VC:N/VI:N/VA:N/SC:N/SI:L/SA:N/E:P

EPSS 分数

EPSS 分数：0.047% (第15百分位)
此分数估计了该漏洞在未来30天内被利用的概率。数据由FIRST提供。

弱点

弱点标识：CWE-74
弱点描述：输出给下游组件使用的特殊元素中和不当（“注入”）
该产品使用来自上游组件的外部影响输入来构建全部或部分命令、数据结构或记录，但在将其发送到下游组件时，未能中和或错误地中和了可能修改其解析或解释方式的特殊元素。
在 MITRE 上了解更多信息。

标识符

• CVE ID:CVE-2025-15056
• GHSA ID:GHSA-v3m3-f69x-jf25
• 源代码仓库:slab/quill
  glyoVzOLZA9nMhz/bDHDAWzfRfZ0dSZtQUalpUyOmxdU1rjd1tTcxOc135y57LUIhn/cdypoAQ8wVFTu3C8w3A==
  更多精彩内容 请关注我的个人公众号 公众号（办公AI智能小助手）
  对网络安全、黑客技术感兴趣的朋友可以关注我的安全公众号（网络安全技术点滴分享）