关键信息 漏洞概述 漏洞类型: 存储型XSS (Stored XSS) 受影响版本: o2oa <= 10.0-410-g3d5e0d2 漏洞位置: 漏洞详情 问题描述: 在o2oa的指定版本中, 端点存在存储型跨站脚本(XSS)漏洞。用户提供的输入(如个人资料字段)未经适当清理即被存储,并在应用中渲染,导致恶意脚本的持久执行。 利用方式 (POC) 请求示例: Payload: 效果: 当查看个人资料时,存储的payload被执行,确认了XSS的存在。 影响 持续的JavaScript执行 在受害者的浏览器中。 可能的会话令牌或敏感用户数据窃取。 未经授权的操作 可能以认证用户的身份执行。 缓解措施 对用户输入进行过滤和转义,在存储前处理个人资料字段,并确保在渲染数据时进行适当的输出编码。