关键漏洞信息 漏洞类型 Race Condition 严重性 CVSS v3.1 基本评分: 5.1/10 (中等) 影响版本 受影响版本: < 1.8.181 修复版本: 1.8.181 描述 产品: FreeScout 版本: v1.8.173 和 1.8.174 CVE ID: CWE-362: Concurrent Execution using Shared Resource with Improper Synchronization ('Race Condition') 描述: 在多线程系统或应用程序中,系统或应用程序的行为取决于代码的执行顺序。当两个或多个线程同时访问相同的数据结构时,且至少有一个访问是写操作,就会发生这种情况。 易受攻击的参数: , 利用条件: 管理员角色 易受攻击的代码片段 缓解措施 实施原子操作以防止对共享资源的并发访问。 使用锁定机制确保对共享资源的独占访问,防止中间数据修改。 避免导致临时数据更改的操作。 研究 研究人员发现了一个零日漏洞:存储型XSS在FreeScout中。 必须发送两个请求(如果有两个管理员,则相应地发送更多请求)在一个单一连接中。