CVE-2026-40201@diplodoc/search-extension 存在存储型跨站脚本(XSS)漏洞。在 1.0.0 至 3.0.3 之前的版本中,由于未能正确过滤 Markdown 文件标题,攻击者可注入恶意脚本。当用户查看受影响的搜索结果或页面时,脚本将在浏览器中执行,可能导致会话劫持或数据泄露。
该漏洞的核心在于应用程序在解析和展示 Markdown 文件元数据时,未对标题字段进行有效的上下文感知编码。攻击者利用低权限账户上传或编辑包含恶意 JavaScript 代码的 .md 文件,将 payload 嵌入到 title 标签或内容中。由于漏洞属于存储型 XSS,恶意数据被持久化存储在服务器数据库或文件系统中。当其他用户(管理员或普通用户)访问该搜索扩展功能并检索到相关文件时,未经过滤的标题内容会直接渲染到 HTML 页面中,导致浏览器解析并执行攻击者预设的脚本。根据 CVSS 向量分析,攻击需要用户交互(UI:R),这意味着受害者必须点击或浏览特定页面才会触发。攻击成功后,可获取受害者的 Cookie、Token 等敏感信息,进而接管账户权限。