关键漏洞信息 1. 漏洞类型和描述 漏洞类型: Stored Cross-Site Scripting (XSS) 漏洞存在位置: Tendenci CMS - Jobs Add & Forums New Topic 描述: 多个存储型XSS漏洞存在,用户输入未经过适当清理和编码,导致攻击者可以注入恶意JavaScript。 2. 漏洞细节 披露日期: 2025-10-16 作者: Emirhan Yücel 影响版本: 15.3.7(最新) 测试环境: Windows 11 CVE: 待分配 类别: Web Apps 3. 影响模块 Jobs Module - Add Job Form Forums Module - New Topic Form 4. 漏洞影响 原因: 存储型XSS攻击未被充分防护 影响: 会话劫持、持久后门、XSS蠕虫、管理员权限提升、大范围网络钓鱼、键盘记录、驱动下载、持续篡改 5. 攻击场景示例 攻击者发布包含cookie窃取器的恶意职位列表 HR部门审查职位申请→会话被劫持 管理员检查待处理的职位→管理员权限被篡改 职位搜索者浏览列表→持续的大规模cookie窃取 恶意负载无限期处于活动状态 6. 风险等级 Job 模块: 高(公共访问,持续,影响所有查看者) Forum 模块: 临界(用户生成内容,广泛受众,管理员访问) 7. 修复建议 输出编码: HTML实体编码所有用户输入 输入清理: 使用服务器端允许的HTML标签白名单 内容安全策略: 实施严格的CSP头 安全头: 禁用内联脚本,设置X-Content-Type-Options: nosniff; X-Frame-Options: DENY; 框架级别保护: 启用Django模板中的自动转义功能 数据库清理: 扫描现有数据库中恶意脚本 8. 时间线 2025-10-16: 发现和验证漏洞 9. 措施预防 确保所有输出数据的HTML实体编码 使用library清理危险属性 实施内容安全策略,禁用监听仅来自自身来源的脚本 设置安全头防止XSS攻击 审查框架是否自动安全转义 对所有数据库中的用户生成内容进行清理