漏洞概述
Docmost 是一款开源的协作式 Wiki 和文档管理软件。在 0.3.0 至 0.23.2 版本中,其 Mermaid 代码块渲染功能存在存储型跨站脚本(XSS)漏洞。攻击者可通过 Mermaid 图表中的 %%{init}%% 指令绕过安全限制,启用 HTML 标签支持,并在未进行任何内容净化的情况下,将恶意 HTML/JavaScript 注入页面,导致任意脚本在用户浏览器中执行。
漏洞详情
- CVE 编号:CVE-2026-23630
- 漏洞类型:存储型跨站脚本(Stored XSS),CWE-79 / CWE-116
- CVSS 评分:6.3(中危)
- 影响版本:Docmost 0.3.0 至 0.23.2
影响范围
所有使用 Docmost 0.3.0 至 0.23.2 版本的实例均受此漏洞影响,特别是允许用户编辑或提交包含 Mermaid 图表内容的协作环境。
风险分析
攻击者可利用该漏洞在受害者的浏览器中执行任意 JavaScript 代码,可能导致会话劫持、钓鱼攻击、页面篡改或敏感信息泄露等后果。由于漏洞触发无需用户主动交互(UI: Passive),且仅需低权限账户即可注入恶意内容,因此具有较高的实际利用风险。
修复建议
- 升级至 Docmost 0.24.0 或更高版本,该版本已修复此问题。
- 如无法立即升级,建议临时禁用 Mermaid 渲染功能,或对用户输入内容实施严格的 HTML/JS 过滤与转义策略。
