关键信息 受影响的产品 E-Logbook with Health Monitoring System for COVID-19 漏洞文件 影响版本 V1.0 漏洞类型 反射型跨站脚本(Reflected XSS) 根因 由于对 参数的输入未进行适当的清理和输出编码,导致用户提供的输入直接渲染为HTML内容。 影响 攻击者可以在受害者的浏览器中执行任意JavaScript代码。 停止或中断业务流程。 执行CSRF攻击通过会话劫持。 如果管理员查看注入的内容,则可以提升权限。 泄露敏感数据或将用户重定向到恶意站点。 描述 在E-Logbook with Health Monitoring System for COVID-19项目中发现了一个反射型跨站脚本(XSS)漏洞。该漏洞是由于对 字段提交的输入未进行适当清理和输出编码造成的。 漏洞细节和POC 漏洞别名: 参数 Payload示例: 建议修复措施 1. 输出编码(服务器端修复 - 必需) 2. 输入验证 3. 应用内容安全策略(CSP) 4. 使用净化器