关键漏洞信息 漏洞类型: 存储型跨站脚本(Stored Cross-Site Scripting) 受影响产品: REDCap (Research Electronic Data Capture) 受影响版本: 13.1.9 CVE编号: - CVE-2024-37396 (Calendar模块) - CVE-2024-37395 (Public Survey模块) - CVE-2024-37394 (Project Dashboards模块) 漏洞描述: 攻击者可以通过在不同应用功能中注入JavaScript代码,利用存储型XSS漏洞在受害者的浏览器中执行恶意脚本。对于没有设置“HttpOnly”属性的cookie,攻击者可能检索到REDCap使用的部分cookie。 修复建议: 升级REDCap至14.2.1或更高版本。 漏洞位置及PoC Location 1: Calendar模块 在日历功能的左侧面板下创建事件时,通过“Notes”字段注入XSS payload。 Location 2: Public Survey模块 在“Designer”模块中选择默认调查工具,并将JavaScript payload插入到Survey Title和Survey Instructions字段。 Location 3: Project Dashboards模块 在项目仪表板模块中创建新仪表板时,通过“Dashboard title”和“Dashboard content”文本框注入XSS payload。 时间线 2024年5月24日: 漏洞披露 2024年5月24日: 厂商确认 2024年6月6日: 发布CVE编号 2024年7月30日: 公告发布