漏洞概述 漏洞编号: CVE-2026-53473 漏洞类型: 存储型跨站脚本(Stored XSS) 漏洞描述: 在 中,当注册代理时, 字段被渲染为 的 组件。如果 包含 协议,攻击者可以执行恶意脚本。 影响范围 受影响组件: 受影响版本: 未指定 影响用户: 所有使用该应用的 Org 用户 影响后果: - 攻击者可以注册带有 协议的 。 - 当其他用户点击链接时,恶意脚本将在 上执行。 - 可能导致受害者的 RH SSO 会话被劫持,实现跨租户数据访问和 API 操作。 修复方案 修复建议: - 引入 辅助函数,解析 URL 并仅返回 或 协议的链接。 - 限制所有渲染站点,确保非 协议的 不作为链接渲染。 - 参考补丁: POC 代码 其他信息 报告时间: 2026-06-09 18:02 UTC 修改时间: 2026-06-10 13:53 UTC 报告人: OSIDB Bzimport CC 列表: 0 用户 固定版本: 未指定 克隆自: 未指定 环境: 未指定 最后关闭: 未指定 紧急程度: 未指定 硬件: 所有 操作系统: Linux 优先级: 高 严重性: 高 目标里程碑: 未指定 分配给: Product Security DevOps Team QA 联系人: 未指定 文档联系人: 未指定 URL: 未指定 白板: 未指定 依赖项: 未指定 阻塞: 未指定 树视图: 取决于 / 阻塞 附件 附件名称: 未指定 附件内容: 未指定 备注 需要登录才能评论或更改此漏洞。