关键信息 漏洞类型 Stored XSS: 存储型跨站脚本攻击 影响版本 o2oa <= 10.0-410-g3d5e0d2 漏洞描述 在 o2oa 版本 10.0-410-g3d5e0d2 及以下版本中, 端点存在存储型跨站脚本(XSS)漏洞。该漏洞是由于用户提供的输入(如个人资料字段)未经清理直接存储并在应用中渲染,导致恶意脚本的持久执行。 利用方式 (POC) 影响 持久的 JavaScript 在受害者浏览器中执行 可能窃取会话令牌或敏感用户数据 以认证用户身份执行未经授权的操作 缓解措施 在存储前过滤和转义用户输入的个人资料字段,并确保在渲染数据时进行适当的输出编码。