漏洞关键信息 漏洞类型: 存储型跨站脚本(XSS) 受影响的包: rucio-webui (pip) 受影响版本: RSE Management > RSE NAME > Add Attribute Trigger Path: Admin > RSE Management > RSE NAME 请求示例: 响应: 影响: 任何查看受影响资源的认证用户都可能在WebUI上下文中执行攻击者控制的JavaScript。 取决于受影响的功能,这可能影响所有用户或仅限于管理员用户。 攻击者可以尝试将会话令牌泄露给外部站点,或者以受害者的身份执行操作,如创建新的UserPass身份。 修复/缓解措施: 客户端渲染的所有来自服务器或用户控制的数据必须在插入DOM之前确保正确的HTML转义。 强制执行严格的Content Security Policy (CSP)。 在会话cookie上设置HttpOnly标志。 避免在JavaScript可访问的变量中暴露API令牌。 参考资料: OWASP XSS Prevention Cheat Sheet: OWASP XSS Prevention Cheat Sheet CVSS评分: 6.1/10 严重性: 中等 CVE ID: CVE-2026-25736 弱点: CWE-79, CWE-1004