CVE-2025-156321Panel-dev MaxKB版本2.4.2及之前版本被发现存在跨站脚本(XSS)漏洞。该漏洞源于ui/src/chat.ts文件中的MdPreview组件未正确过滤用户输入的Markdown数据,允许攻击者注入恶意脚本。此漏洞可被远程利用,攻击者通过诱导受害者查看特定内容即可触发攻击。目前官方已发布2.5.0版本修复此问题,建议受影响用户尽快升级以确保系统安全。
该漏洞主要存在于MaxKB前端项目的`ui/src/chat.ts`文件中,具体涉及`MdPreview`(Markdown预览)组件。在受影响版本(<=2.4.2)中,该组件在解析用户输入的Markdown文本时,未对潜在的HTML标签和JavaScript事件处理器进行严格的过滤和转义。攻击者可利用此特性,构造包含恶意Payload的Markdown数据(例如利用图片标签`<img>`的`onerror`事件)。当具有低权限的用户(PR:L)在界面上查看被篡改的聊天内容或文档时,浏览器会解析并执行其中的恶意脚本。由于攻击向量为网络(AV:N)且需要一定用户交互(UI:R),这通常属于存储型或反射型XSS的变种。成功的利用可能导致攻击者劫持用户会话、窃取敏感信息或执行客户端操作。修复补丁通过更新依赖库或增加DOMPurify等清洗机制来阻断此类攻击。