关键漏洞信息 漏洞类型 Stored Cross-Site Scripting (XSS) 影响范围 Package: Open eClass Affected versions: <= 4.1 Patched versions: 4.2 漏洞描述 Summary: - 该漏洞允许通过学生提交的作业文件注入恶意JavaScript,当教师查看提交时被执行。 Details: - 应用程序允许学生上传HTML格式的作业文件,且未对活动内容进行适当的清理或限制。上传包含嵌入式JavaScript代码的HTML文件时,教师查看提交的作业将在其浏览器上下文中执行恶意JavaScript,可能导致会话cookie窃取或执行未经授权的操作。 重现步骤 1. 以学生身份登录。 2. 创建包含JavaScript的HTML文件,例如: . 3. 上传该HTML文件作为作业提交。 4. 以教师身份登录。 5. 导航到: . 6. 打开上传的文件。 7. 观察教师浏览器中JavaScript代码的执行情况。 漏洞细节截图 Request and Response: - 展示了XSS文件的提交请求及其响应,其中JavaScript代码被嵌入。 风险评分与ID CVE ID: CVE-2026-24665 CVSS v3 base metrics: - Severity: High (8.7/10) - Attack Vector: Network - Attack Complexity: Low - Privileges Required: Low - User Interaction: Required - Scope: Changed - Confidentiality: High - Integrity: High - Availability: None CVE weakness: CWE-79 (Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting')) 发现者信用 Credit: Alexandros Perrakis (Stolichnayer)