ElementPlus漏洞整理

CVE-2025-57665

描述：

Element Plus 链接组件（el-link）在 2.10.6 版本中，对 href 属性的输入验证不足，造成安全抽象层漏洞，隐藏了基于 URL 的攻击向量。该组件直接将用户控制的 href 值传递给底层锚元素，而未进行协议验证、URL 清理或安全头部的处理。这允许攻击者使用危险协议（javascript:、data:、file:）注入恶意 URL，或将用户重定向到外部恶意网站。虽然原生 HTML 锚元素存在类似风险，但 UI 组件库需承担额外责任，实施安全防护措施并提供明确的风险文档。该漏洞可导致 XSS 攻击、钓鱼活动和开放重定向攻击，影响使用 Element Plus 链接组件且输入受用户控制或不可信 URL 的应用程序。

解决：https://github.com/element-plus/element-plus/pull/21711

就是提示用户在使用el-link的时候始终校验 url 是否合法，比如是否是以http/https 开头，以防 XSS 攻击。

CVE-2022-27103

https://nvd.nist.gov/vuln/detail/CVE-2022-27103

描述：

element-plus 2.0.5 存在跨站脚本（XSS）漏洞，通过 el-table-column 利用。

在2.0.6 修复了该漏洞：https://github.com/element-plus/element-plus/pull/6520