撰写页面的自定义字段里面的
文章摘要
元信息
存在xss
文章摘要的xss会在首页显示
元信息xss会在浏览页显示

你要把这个也定义成 XSS 漏洞的话，整个编辑器最好都扔掉，typecho 用 !!! 包裹可以内嵌 html 的，也就包括 script 标签。文章摘要和元信息都是有发布文章权限的人才能写入的，大部分也都是网站管理员，谁没事攻击自己的网站。
如果你不是把 Miracles 用作个人博客，而需要用到多用户功能以及限制其他用户的写入的话，它可能不太适合你 :(