Agent Zero < 1.15 存储型跨站脚本漏洞 (Stored XSS) 漏洞概述 Agent Zero 在 1.15 版本之前存在一个存储型跨站脚本(Stored XSS)漏洞。攻击者可以通过 API 端点上传包含恶意脚本标签的 SVG 文件。由于该端点未正确设置 、 或 等安全头,导致浏览器会执行恶意脚本。 攻击者可以诱骗已认证用户访问该端点,从而执行恶意脚本、窃取 CSRF token cookie,并代表受害者执行未授权的 API 调用。 影响范围 受影响软件: Agent Zero 受影响版本: < 1.15 漏洞类型: CWE-79 Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') CVSS 评分: 5.3 CVSS 向量: CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:R/PVC:N/VI:N/VA:N/SC:L/SI:L/SA:N 修复方案 升级到 Agent Zero 1.15 或更高版本。 参考链接 GitHub Issue Patch Commit 报告人 YU SUN 发布日期 2026年5月27日 CVE 编号 CVE-2026-47119