关键信息 漏洞类型 Stored XSS 影响版本 <1.8.180 修复版本 1.8.180 描述 产品: FreeScout 版本: v1.8.173 和 1.8.174 CVE-ID: CWE-79: 不正确的输入中和在Web页面生成期间(跨站脚本) CVSS向量: v4.0: 6.0 (AV:N/AC:L/PR:H/UI:P/S:C/C:H/I:N/A:N) 漏洞详情 应用程序由于不正确的输入验证和清理而易受跨站脚本(XSS)攻击。 攻击者可以将任意HTML代码,包括JavaScript脚本,注入到由用户浏览器处理的页面中,从而窃取敏感数据、劫持用户会话或进行其他恶意活动。 漏洞场景 所有应用程序中的Flash通知 翻译短语未转义时的所有情况 利用条件 授权用户具有管理员角色。 受影响代码部分 Listing: 易受攻击的代码片段 (/app/Http/Controllers/MailboxesController.php 97-99行) 缓解措施 输入验证和清理:对所有用户提供的数据进行初步转换以防止潜在的安全漏洞。 使用 函数来替换可能用于HTML格式化的危险字符。 遵循OWASP建议的全面方法,包括编码和服务器配置更改以及技术安全措施。 弱点 CWE-79 研究人员 Artem Delkov, Ilya Tsaturov, Danill Satyayev, Roman Chernemykh, Artem Danilov, Stanislav Gloyim (Positive Technologies)