qiwen-file中的文件重命名功能存在存储型XSS漏洞，该功能运行攻击者在文件名中插入恶意代码。

该漏洞使恶意代码能够在文件目录和文件分享页面上运行。当攻击者创建了带有恶意代码的分享文件后，受害者一旦打开该恶意分享链接，就会执行该恶意代码。

需要一个账户，进入网盘任意创建或上传一个文件，完成后右键单击选择重命名，在新文件名处输入Payload，点击确定即可

Payload:

<img src="" onerror="alert(document.cookie)">

访问该文件所在的目录时，成功触发恶意代码：

当受害者访问该文件的分享链接时，成功触发恶意代码：

安全建议

• 严格过滤用户输入

• 严格控制页面呈现内容