Calibre<=7.15.0中的未初始化用户输入允许攻击者执行反射型跨站脚本，攻击者可以将任意 JavaScript 代码注入到/browse，从而允许攻击者构造一个 URL，当受害者点击该 URL 时，会在受害者浏览器的上下文中执行攻击者的 JavaScript 代码。如果 Calibre 服务器运行时启用了身份验证，并且受害者当时已登录，则攻击者可以利用此漏洞使受害者代表攻击者在 Calibre 服务器上执行操作。

建议更新当前系统或软件至最新版，完成漏洞的修复。