Quill富文本编辑器HTML导出功能存在XSS漏洞分析

Quill 因HTML导出功能易受XSS攻击 · CVE-2025-15056 · GitHub Advisory Database

漏洞详情

包管理器： npm

包名称： quill

受影响版本： = 2.0.3

已修补版本： 无

描述：

Quill 的 HTML 导出功能中存在数据验证缺失漏洞，可导致跨站脚本（XSS）攻击。

此问题影响 Quill 版本：2.0.3。

参考链接：

• https://nvd.nist.gov/vuln/detail/CVE-2025-15056
• https://fluidattacks.com/advisories/diomedes
• https://github.com/slab/quill

时间线

• 国家漏洞数据库发布时间： 2026年1月13日
• GitHub Advisory Database 发布时间： 2026年1月13日
• 审核时间： 2026年1月16日
• 最后更新时间： 2026年1月16日

严重程度

等级： 低

CVSS 总体评分： 2.0 / 10

CVSS v4 基础指标

可利用性指标：

• 攻击向量： 网络
• 攻击复杂度： 低
• 攻击前提条件： 无
• 所需权限： 无
• 用户交互： 需要

受影响系统影响指标：

• 机密性影响： 无
• 完整性影响： 无
• 可用性影响： 无

后续系统影响指标：

• 机密性影响： 无
• 完整性影响： 低
• 可用性影响： 无

CVSS向量字符串：

CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:A/VC:N/VI:N/VA:N/SC:N/SI:L/SA:N/E:P

EPSS 分数

EPSS 分数： 0.047% (第15百分位)

此分数估计了该漏洞在未来30天内被利用的概率。数据由FIRST提供。

弱点

弱点标识： CWE-74

弱点描述： 输出给下游组件使用的特殊元素中和不当（“注入”）

该产品使用来自上游组件的外部影响输入来构建全部或部分命令、数据结构或记录，但在将其发送到下游组件时，未能中和或错误地中和了可能修改其解析或解释方式的特殊元素。

在 MITRE 上了解更多信息。

标识符

• CVE ID: CVE-2025-15056
• GHSA ID: GHSA-v3m3-f69x-jf25
• 源代码仓库: slab/quill glyoVzOLZA9nMhz/bDHDAWzfRfZ0dSZtQUalpUyOmxdU1rjd1tTcxOc135y57LUIhn/cdypoAQ8wVFTu3C8w3A==