CVE-2025-63260SyncFusion 30.1.37版本被发现存在跨站脚本(XSS)安全漏洞。该漏洞主要影响Document-Editor组件中的“回复评论”字段以及Chat-UI组件的“聊天消息”功能。由于系统未能对用户输入的数据进行严格的过滤和转义处理,攻击者可以植入恶意脚本。当其他用户访问包含恶意内容的页面时,脚本将在其浏览器中执行,从而导致敏感信息泄露或会话劫持。
该漏洞属于存储型跨站脚本攻击(Stored XSS)。其技术原理在于SyncFusion的受影响组件在接收用户输入(如评论回复、聊天消息)时,未对HTML标签和JavaScript关键字进行有效的消毒处理。攻击者利用低权限账户登录后,可以在输入框中构造恶意的JavaScript代码(例如`<script>`标签或事件处理器)。服务器将这些未经过滤的数据持久化存储。当管理员或其他用户浏览相关内容时,恶意代码被嵌入到响应页面中并由浏览器解析执行。攻击者可借此窃取Cookie、进行会话劫持或重定向攻击,严重威胁系统的机密性和完整性。