发布日期：2026-02-13
更新日期：2026-03-31

受影响系统：

Craft beautiful-mermaid < 0.1.3

描述：

---

CVE(CAN) ID: CVE-2026-26226

beautiful-mermaid是Craft开源的一个可视化人工智能助手数据流的工具。
beautiful-mermaid 0.1.3之前版本存在跨站脚本漏洞，该漏洞源于SVG属性注入问题，攻击者可利用该漏洞通过精心构造的输入突破属性上下文，在渲染输出中注入任意SVG元素或属性,当生成的SVG被嵌入网页时，导致在嵌入页面的源上下文中执行脚本。

<**>

建议：

---

厂商补丁：

Craft
-----
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：
https://github.com/lukilabs/beautiful-mermaid/releases

浏览次数：126
严重程度：0（网友投票）