CVE-2026-4980 CVSS 6.3 中危

CVE-2026-4980 Inkscape本地文件泄露漏洞

披露日期: 2026-03-27

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-4980

漏洞类型

本地文件泄露

CVSS评分

6.3 中危

攻击向量

本地 (AV:L)

认证要求

无需认证 (PR:N)

用户交互

需要交互 (UI:R)

影响产品

Inkscape

漏洞概述

Inkscape 1.1至1.3之前的版本中存在一个本地文件泄露漏洞。该漏洞源于XInclude处理组件未能正确验证用户输入，允许远程攻击者通过特制的SVG文件中包含的恶意xi:include标签来读取本地敏感文件。此漏洞需要用户交互才能触发，但可能导致用户隐私数据泄露。

技术细节

该漏洞的核心在于Inkscape对XML标准中XInclude机制的处理存在安全隐患。漏洞发生于Inkscape 1.1至1.3之前的版本，攻击利用了SVG文件解析器对`xi:include`标签的处理逻辑。根据CVSS 3.1向量，攻击需要本地访问权限（AV:L）和用户交互（UI:R），通常通过社会工程学手段实现。攻击者制作包含`<xi:include href="file:///..."/>`的恶意SVG文件。当受害者在易受攻击的系统上使用Inkscape打开此文件时，解析器会执行标签中的指令，尝试读取并渲染攻击者指定的本地文件路径内容（如`/etc/passwd`）。由于缺乏有效的路径遍历限制或沙箱隔离，攻击者成功窃取敏感数据。此漏洞不破坏系统完整性或可用性，但严重威胁数据机密性。

攻击链分析

STEP 1

步骤1

攻击者构造包含恶意xi:include标签的SVG文件，指定目标系统上的敏感文件路径。

STEP 2

步骤2

攻击者通过网络钓鱼或其他诱导手段，将恶意SVG文件发送给目标用户。

STEP 3

步骤3

受害者使用受影响版本的Inkscape打开恶意SVG文件。

STEP 4

步骤4

Inkscape解析SVG文件，处理XInclude指令并读取本地文件内容。

STEP 5

步骤5

本地文件内容被渲染或暴露，导致信息泄露。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

<svg xmlns="http://www.w3.org/2000/svg" xmlns:xi="http://www.w3.org/2001/XInclude">
  <!-- Malicious SVG exploiting XInclude to read local files -->
  <text x="10" y="20" font-size="14">
    <!-- Attempt to include /etc/passwd -->
    <xi:include href="file:///etc/passwd" parse="text"/>
  </text>
</svg>

影响范围

Inkscape 1.1

Inkscape 1.2

Inkscape < 1.3

防御指南

临时缓解措施

在升级到修复版本之前，建议用户不要打开来自不可信来源的SVG文件。用户可以使用文本编辑器检查SVG文件内容，确认是否包含`xi:include`标签后再行打开。在企业环境中，应部署邮件安全网关过滤恶意SVG附件。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表