关键信息 漏洞详情 产品: Agorum core open 受影响版本: 11.9.1.3-1857 漏洞类型: 不当的输入中和在网页生成期间(跨站脚本攻击) 安全风险等级: 高 厂商: Agorum 厂商URL: https://www.agorum.com/ 厂商确认漏洞: 是 厂商修复状态: 已修复 CVE编号: CVE-2023-26169 公告ID: USD 2025-0026 描述 Agorum core 存在一个跨站脚本(XSS)漏洞,该漏洞影响多个参数,导致用户提供的JavaScript代码被反射并执行,可能窃取会话凭证或篡改内容。 概念验证 示例请求: 服务器响应中,用户提供的JavaScript被反射并执行,导致弹出警告框。 其他易受攻击的端点 OpenDocumentMessage.jsp ShowSDSMessageBox.jsp SSC.jsp SSDConvertToPdf.jsp SSDFileListStart.jsp SSDPageSet.jsp SSDPrint.jsp SSDPortal.jsp SSDPortalWindow.jsp SSDPortalTextTermSet.jsp SDSearcMAsk.jsp SDSSearchMaskSet.jsp RBSExecuteSearch.jsp CreateNewWindowLoader.jsp RTSReadIn.jsp ReportingFrameSet.jsp 修复建议 强烈建议实施强大的输入验证和输出编码策略。使用提供内置XSS防护的库或框架,并确保所有动态内容根据上下文正确转义。 升级建议 用户应将Agorum core open升级到版本11.9.2和11.10.1。 时间线 2025-05-05: 初始联系通过邮件 2025-05-05: 厂商确认收到并开始调查 2025-05-07: 厂商开始解决和修复问题 2025-05-15: 厂商解决并修复了云实例中的漏洞 2025-05-30: 厂商发布了修复版本11.9.2和11.10.1 2025-06-27: 此公告发布