根据提供的网页截图,我们可以获取以下关于漏洞的关键信息: 漏洞基本信息 漏洞ID: GHSA-3534-xp88-25rc CVE ID: CVE-2026-27609 报告人: mtrezza 严重性: 高 ( Severity: High) 漏洞细节 漏洞类型: 缺少CSRF保护(Cross-site request forgery Protection) 在Agent端点 受影响版本: >= 7.3.0-alpha.42 <= 9.0.0-alpha.7 修正版本: 9.0.0-alpha.8 影响 描述: AI Agent API 端点 (POST /apps/:appId/agent) 缺失CSRF保护措施,使得攻击者能够构造恶意页面,一旦被已认证的仪表板用户访问,即可使用受害者的会话向代理端提交请求。 修复措施 修复内容: 修复方案通过向代理端点添加CSRF中间件,并在仪表板页面中嵌入CSRF令牌。 解决方案或绕过方法 解决方法: 从仪表板配置中移除 的配置块;此类仪表板在缺少 配置时不会受到影响。 参考信息 GitHub安全建议: GHSA-3534-xp88-25rc 修复链接: parse-dashboard 发布 v9.0.0-alpha.8 CVE相关细节 CVSS v4.0基准指标: - 攻击向量: 网络 - 利用复杂程度: 低 - 身份鉴别要求: 无 - 特权需求: 无 - 用户交互: 被动 - 机密性影响: 无 - 完整性影响: 高 - 可用性影响: 无