漏洞关键信息总结 漏洞类型: 反射型XSS(跨站脚本攻击) 受影响版本: < 39.3.1 修复版本: 39.3.1, 38.5.4, 35.8.3 CVSS评分: 8.1/10 CVE ID: CVE-2026-25136 CVSS v3 基本指标: 攻击向量: 网络 攻击复杂度: 低 所需权限: 无 用户交互: 需要 影响范围: 未改变 机密性: 高 完整性: 高 可用性: 无 弱点: CWE-79: 跨站脚本 CWE-1004: 敏感Cookie信息暴露 报告者: d-woosley 描述: 概要: 在Rucio WebUI渲染500错误的ExceptionMessage时, 存在反射型XSS漏洞, 攻击者可通过构造的URL窃取未设置HttpOnly属性的登录会话token。 详细信息: 服务器端处理异常信息时未对用户可控输入进行转义, 导致攻击者能够通过错误消息注入脚本, 这些脚本在用户浏览器中执行。 影响: 任何认证用户若访问含有恶意输入的页面或触发有错误的请求, 都可能执行任意JavaScript代码。攻击者可窃取会话Cookie和token, 或以受害用户身份执行操作, 如创建新的UserPass身份。 缓解措施: 修改客户端代码, 将 替换为 以转义HTML内容, 或使用文本节点替换HTML插入。 增加Content Security Policy (CSP)阻止外部脚本执行, 并为会话Cookie设置HttpOnly标志。 避免在JavaScript变量中设置API token,以防止即使设置了HttpOnly标志仍被攻击者获取。 ``` 这个Markdown总结了漏洞的关键细节,包括其类型、影响的版本、严重性评分、CVE识别号、CVSS的基本指标、脆弱点以及漏洞的描述和缓解措施。