发布日期：2025-12-12
更新日期：2026-03-03

受影响系统：

vuetify vuetify >= 2.0.0 < 3.0.0

描述：

---

CVE(CAN) ID: CVE-2025-8082

vuetify是德国vuetify开源的一个Vue的材质组件框架。
vuetify 2.0.0至3.0.0之前版本存在跨站脚本漏洞，该漏洞源于VDatePicker组件对标题日期的中和不当，其title-date-format属性未经清理接受用户创建的函数并将其输出直接赋值给标题元素的innerHTML属性，攻击者可利用该漏洞发起跨站脚本攻击，向页面中插入未经过滤的HTML，导致任意代码执行。

<**>

建议：

---

厂商补丁：

vuetify
-------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

https://vuetifyjs.com/getting-started/upgrade-guide/

浏览次数：114
严重程度：0（网友投票）