发布日期：2026-02-11
更新日期：2026-04-03

受影响系统：

Vikunja Vikunja < 1.1.0

描述：

---

CVE(CAN) ID: CVE-2026-25935

Vikunja是Vikunja开源的待办事项应用程序。
Vikunja 1.1.0之前版本存在跨站脚本漏洞，该漏洞源于TaskGlanceTooltip.vue会临时创建一个div，并将其innerHtml设置为任务描述,由于服务端和客户端均未进行转义处理，攻击者利用该漏洞分享项目、创建恶意任务，从而在鼠标悬停时引发跨站脚本攻击。

<*链接：https://vikunja.io/changelog/vikunja-v1.1.0-was-released/
*>

建议：

---

厂商补丁：

Vikunja
-------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：
https://vikunja.io/changelog/vikunja-v1.1.0-was-released/

浏览次数：46
严重程度：0（网友投票）