关键漏洞信息 漏洞性质 类型: 存储型跨站脚本攻击 (XSS) 在 Rucio WebUI 的身份名称中。 受影响版本与修复版本 受影响版本: 帐户管理 > ACCOUNT NAME > 添加帐户身份 触发路径: 管理员 > 帐户管理 > ACCOUNT NAME 请求示例: 响应示例: 漏洞影响 任何查看受影响资源的已验证用户都可能在 WebUI 起源执行攻击者控制的 JavaScript。具体影响因受影响的功能而异,可能影响所有用户或仅限管理员用户。 放大影响的因素: - 缺少 HttpOnly 标志的可访问 JavaScript 的会话Cookie。 - 通过 JavaScript 变量暴露给 WebUI 的 API 令牌。 攻击场景: - 攻击者可能会尝试将会话令牌泄露到外部站点,通过设置编码版本的cookie为GET请求到攻击者控制的站点的路径。 - 攻击者还能创建新用户密码身份,用攻击者已知的密码删除创建RSE,或泄露数据。 解决方案 / 缓解措施 所有客户端渲染的服务器提供的或用户控制的数据必须确保正确的HTML转义前插入DOM。 不允许使用不安全的方法如 ,除非内容被显式地清理。更安全的替代方法是使用 创建文本节点或使用强制自动转义的模板系统。 附加防御措施 强制执行严格的Content Security Policy (CSP)。 对会话Cookie设置HttpOnly标志。 避免在JavaScript可访问的变量中暴露API令牌。 参考资料 OWASP XSS Prevention Cheat Sheet: https://cheatsheetsseries.owasp.org/cheatsheets/Cross_Site_Scripting_Prevention_Cheat_Sheet.html 其他信息 严重性: 中等(CVSS v3 评分:6.1/10) CVSS v3 基础度量: - 攻击向量: 网络 - 攻击复杂度: 低 - 所需特权: 高 - 用户互动: 必须 - 范围: 不变 - 保密性影响: 高 - 完整性影响: 高 - 可用性影响: 无 CVE ID: CVE-2026-25735 弱点: - CWE-79: 跨站脚本攻击 (XSS) - CWE-1004: 信息暴露给错误用户 报告人: d-woosley