从该网页截图中可以获取到以下关于漏洞的关键信息: 受影响的产品:OpenSourcePOS v3.4.1 漏洞类型:存储型跨站脚本(Stored Cross-Site Scripting,CWE-79) 受影响的组件:客户模块 - 电话号码字段 严重程度:中等 CVSS 3.1:AV:N/AC:L/PR:L/UI:R/S:U/C:L/I:L/A:L 补丁:opensourcepos/opensourcepos#4356 总结: 存存储型跨站脚本(XSS)漏洞存在于OpenSourcePOS v3.4.1的客户模块中。具有添加或更新客户权限的认证用户可以将任意JavaScript代码注入到电话号码字段中。恶意payload被存储并在客户记录在web界面中渲染时被执行。 影响: 在其他用户浏览器上下文中执行任意JavaScript 潜在的会话劫持 敏感信息的暴露 未经授权的行为以受害者名义执行 影响取决于查看恶意记录的用户的权限 受影响版本: 确认受影响:OpenSourcePOS v3.4.1 其他版本:未测试;其他版本的影响未被独立验证。 技术描述: 客户模块中的电话号码字段没有正确验证或清理用户提供的输入。此外,存储的值在应用的web界面中没有适当的输出编码。具有“客户:添加、更新、删除和搜索客户”权限的已认证攻击者可以在电话号码字段中注入JavaScript payload。当客户数据稍后被显示时,payload执行导致存储型XSS条件。 概念验证: 情景:攻击者拥有具有管理顾客权限的认证账户。 步骤1:用具有所需顾客管理权限的账户登录。 步骤2:导航到顧客部分并创建或更新一个顾客,使用以下值为電話號碼字段: 步骤3:提交表单。当客人记录查看时,JavaScript payload执行,确认成功的利用。 修复措施: 对所有使用者供给的数据在浏览器渲染前应用严格输出编码(例如,HTML实体编码) 管手机号码字段的输入验证,采用白名单方法确保只接受合乎规则的号码格式 查看顾客模块的其他输入字段是否也有类似问题,以预防额外的XSS漏洞。 时间线: 报告给供应商和MITRE:2025年12月19日 CVE分配:2026年2月5日 参考资料: OpenSourcePOS项目:https://github.com/opensourcepos/opensourcepos CVE-79:在网页生成时对输入进行不恰当的中立化(跨站脚本) 补丁: opensourcepos/opensourcepos#4356