CVE-2026-41305PostCSS是一个用于分析和修改CSS规则的API工具。在8.5.10版本之前,该组件在将CSS抽象语法树(AST)转换为字符串时,未能正确转义`</style>`序列。当应用解析用户提交的CSS并将其重新字符串化嵌入到HTML `<style>`标签时,攻击者可利用CSS值中的`</style>`字符串跳出样式上下文,导致存储型或反射型跨站脚本(XSS)漏洞。
该漏洞源于PostCSS在处理CSS抽象语法树(AST)字符串化时的逻辑缺陷。PostCSS允许开发者通过AST修改CSS规则,但在将AST转换回CSS字符串的过程中,版本8.5.10之前的代码未对CSS属性值中的特殊字符`</style>`进行转义处理。攻击向量主要针对允许用户自定义CSS并重新渲染的应用场景。攻击者可以注入包含`</style><script>alert(1)</script>`的恶意CSS。PostCSS在处理时保留了原始的`</style>`,导致浏览器在渲染HTML时提前闭合`<style>`标签,进而执行后续的恶意JavaScript代码。由于问题出在CSS处理阶段,常规的HTML上下文转义可能无法拦截此攻击向量。