CVE-2025-66470NiceGUI是一个基于Python的UI框架,在3.3.1及以下版本中存在存储型跨站脚本攻击(XSS)漏洞。该漏洞存在于ui.interactive_image组件中,该组件使用Vue的v-html指令渲染SVG内容时未进行任何消毒处理。攻击者可以通过SVG的<foreignObject>标签注入恶意HTML或JavaScript代码。当应用程序显示用户生成的内容或注释时,攻击者可以利用此漏洞对其他用户发起攻击。此漏洞对于托管仪表板或多用户应用程序的环境尤其危险,攻击成功可能导致窃取用户会话、凭据或执行恶意操作。
漏洞根源在于NiceGUI的ui.interactive_image组件在渲染SVG内容时,直接使用了Vue的v-html指令而没有对内容进行HTML实体化或消毒处理。Vue的v-html指令会将字符串内容作为原始HTML插入到DOM中,这使得攻击者可以通过在SVG中嵌入<foreignObject>标签来注入任意HTML或JavaScript代码。当用户访问包含恶意SVG内容的页面时,攻击者注入的脚本将在受害者浏览器中执行。攻击者可以利用此漏洞执行各种客户端攻击,包括但不限于:窃取Cookie和会话信息、劫持用户操作、修改页面内容显示钓鱼信息、或将用户重定向到恶意网站。由于该组件常用于显示图片预览或交互式内容,攻击面相对较大。