CVE-2024-52286丨Stirling-PDF合并功能中的跨站脚本漏洞（XSS）

Stirling-PDF 是一个本地托管的应用程序，允许用户对 PDF 文件执行各种操作。在受影响版本中，合并功能会接受来自不可信用户的输入（文件名），并将其直接用于创建 HTML 页面，这使得任何未经验证的用户都可以在用户的上下文中执行 JavaScript 代码。这个问题源于 `src/main/resources/static/js/merge.js` 文件中的第 `24` 行代码。文件名被直接输入到 InnerHTML 中，没有对文件名进行任何清理，这使得恶意用户能够上传包含 HTML 标签的文件名。由于 HTML 标签可以包含 JavaScript 代码，因此可以用来在用户的上下文中执行 JavaScript 代码。这是一种自我注入式攻击，依赖于用户自己上传恶意文件，并且只影响他们自己，不影响其他用户。用户可能会被诱导运行此程序以发动钓鱼攻击。尽管如此，这违反了应用程序预期的安全限制。这个问题已在版本 0.32.0 中得到解决，建议所有用户进行升级。对于此漏洞，没有已知的解决方法。