CVE-2026-41063WWBN AVideo 是一个开源视频平台。在 29.0 及以下版本中,其 `ParsedownSafeWithLinks` 类对 XSS 的修复不完整。该类仅覆盖了原始 HTML 的 `inlineMarkup`,却未覆盖 `inlineLink()` 或 `inlineUrlTag()`。这使得攻击者能够利用 Markdown 链接语法中的 `javascript:` URL 绕过清理机制,导致存储型跨站脚本(XSS)漏洞。
该漏洞源于 AVideo 平台使用的 `ParsedownSafeWithLinks` 类在处理 Markdown 输入时存在安全隐患。虽然开发者尝试通过重写 `inlineMarkup` 方法来阻止原始 HTML 标签的解析,以防御 XSS 攻击,但这一修复并不完整。关键在于,该类未同时重写处理链接解析的 `inlineLink()` 和 `inlineUrlTag()` 方法。这意味着,尽管原始 HTML 被拦截,但攻击者仍可利用 Markdown 原生的链接语法(如 `[text](url)`)插入恶意载荷。具体利用时,攻击者将 `javascript:` 协议作为 URL 目标(例如 `[Click Me](javascript:alert(document.cookie))`)。由于缺乏对 URL 协议的有效校验,该字符串能绕过清理机制。当其他用户查看被植入的恶意内容时,浏览器会将 `javascript:` 代码视为可执行脚本运行,从而导致存储型 XSS 攻击。