PierfrancescoConti/leaflet-cve-2025-69993

# CVE-2025-69993 — Leaflet bindPopup() 中的 XSS 在 Leaflet <= 1.9.4 中存在跨站脚本（XSS）漏洞。`bindPopup()` 方法将用户提供的输入作为原始 HTML 渲染而未经过滤，从而允许任意 JavaScript 执行。 ## 仓库结构 - **ADVISORY.md** — 完整的安全公告，包含漏洞详情、影响分析和推荐的缓解措施 - **leaflet-xss-poc/** — 一个 Angular 应用程序，用于在真实场景中演示该漏洞（用户表单输入直接传递给 `bindPopup()`） ## 快速开始 ``` cd leaflet-xss-poc npm install npm start ``` 打开 `http://localhost:4200/`，在描述字段中输入 ``，然后点击“添加标记”。

标签：Angular, bindPopup, CVE-2025-69993, DOM渲染, Grype, HTML注入, JavaScript执行, Leaflet, PoC, Web安全, XSS, 前端安全, 安全演示, 客户端安全, 数据可视化, 暗色界面, 暴力破解, 漏洞分析, 漏洞情报, 用户输入, 自动化分析, 蓝队分析, 跨站脚本, 路径探测