关键漏洞信息 漏洞概述 类型: 反射型XSS(Cross-Site Scripting) 描述: 用户提供的输入在服务器响应中被反射,未经过适当清理或转义,导致攻击者可以在用户的会话上下文中执行任意JavaScript代码。 影响范围 受影响版本: - - - 修复版本: - - - 漏洞细节 位置: 端点中的“Tags”输入字段。 问题: 尽管服务器在存储数据或稍后返回数据时应用了清理,但反射时立即执行有效载荷,允许攻击者在用户的浏览器中运行任意JavaScript代码。 影响 潜在危害: 攻击者可以窃取敏感用户数据(如cookie)、重定向用户到恶意网站、操纵网页内容,并在应用程序内控制用户的会话。 安全评级 严重性: 中等 (4.8/10) CVSS v4 基本指标: - 攻击向量: 网络 - 攻击复杂度: 低 - 攻击需求: 无 - 所需权限: 低 - 用户交互: 需要 - 机密性影响: 低 - 完整性影响: 低 - 可用性影响: 无 相关链接 Web Security Academy: Cross-site scripting Web Security Academy: Reflected cross-site scripting