漏洞概述 漏洞名称: Whistleblowersoftware.com: confidentiality and anonymity leakage to third parties 发现者: Red Nanaki 日期: 2026年6月21日 描述: - 匿名举报流在 上加密报告文本,但不保证附件和报告者的网络身份及时间信息的安全。 - 附件以明文形式处理,存在数据泄露风险。 - 第三方遥测服务传输会话数据,可能泄露报告者的网络身份和提交时间。 影响范围 高: 附件以明文形式处理,导致数据泄露风险。 中: 第三方遥测服务传输会话数据,可能泄露报告者的网络身份和提交时间。 修复方案 高: - 在客户端执行元数据移除,避免服务器接收明文文件。 - 如果服务器端处理无法避免,应立即删除临时存储对象,并将元数据剥离服务视为可信组件。 中: - 从举报流中移除第三方遥测,或将其限制在第一方、欧盟居民基础设施内。 - 禁用PII、会话跟踪和面包屑捕获,审查所有跨源请求目标。 POC代码