漏洞关键信息 漏洞名称 HTML Injection in Organization Invitation Emails 影响版本 All (before fix) 描述 当在组织名称中包含HTML时,该标记会渲染在邀请邮件中,表明在没有正确HTML转义的情况下,用户控制的输入被插入到邮件模板中。 影响流程和组件 受影响流程: IAM → 邀请成员通过电子邮件 受影响组件: 组织邀请的电子邮件模板 细节 组织名称在未经sanitize或转义的情况下被插入到邀请邮件中,导致HTML标签在事务性邮件的主题/正文中渲染。 攻击概念证明 (Proof of Concept) 1. 登录到OpenObserve Cloud。 2. 创建一个新组织(或重命名一个现有组织)名称包含HTML,例如:evil.com 或 click me。 3. 从IAM → 用户发送邀请到任何你控制的电子邮件。 4. 观察收到的邮件:HTML渲染而不是以纯文本显示。 影响 钓鱼/品牌欺骗: 攻击者可以使内容看起来官方或冒充系统通知。 欺骗链接/ UI重定向: 攻击者可以注入标签或样式以误导收件人点击恶意链接。 信任侵蚀: 包含未转义HTML的事务性邮件降低了可信度并增加了社会工程风险。 严重性 CVSS v3.1向量: AV:N/AC:L/PR:L/UI:R/S:U/C:N/I:L/A:N 分数: 4.3 (中等) 附注 没有测试脚本(例如:),仅使用无害标签演示漏洞。 没有执行任何有害操作。