关键信息 漏洞概述 漏洞类型: Iframe Injection (存储型HTML/JS注入) 受影响版本: LogicalDOC Community 9.2.1 攻击途径: 通过API Key创建UI提交HTML payload 漏洞详情 问题描述: API Key创建/存储功能接受并持久化攻击者控制的HTML内容,未进行适当的输出编码或清理。 影响: 攻击者可注入HTML/JS,在高权限用户(如管理员)或其他查看API Key页面的用户上下文中执行任意JavaScript。 复现步骤 1. 登录账户并导航至 2. 进入Accounts -> Security -> API Key 3. 创建新API Key并输入payload: 4. 点击OK保存API Key 5. 打开API Key时触发JavaScript弹窗,确认iframe注入成功 影响 盗取会话cookie和敏感数据 在用户上下文中执行恶意JavaScript 破坏或操纵应用UI 推荐措施 对所有用户输入进行清理和编码 阻止API Key字段中的HTML/script标签 仅以纯文本形式渲染用户数据 强制执行严格的Content Security Policy 审计和清理现有存储数据 受影响版本 LogicalDOC v9.2.1 致谢 Zeeshan Khan