关键信息总结 漏洞概览 漏洞类型: 存储型跨站脚本(Stored XSS) 受影响的包: rucio-webui (pip) 受影响版本: < 39.3.1 已修复版本: 39.3.1, 38.5.4, 35.8.3 漏洞严重性: 高 (7.3/10) CVE ID: CVE-2026-25733 漏洞细节 攻击向量: 网络 用户交互: 需要 CWE: CWE-79, CWE-1004 描述: 在Rucio WebUI的自定义规则功能中,攻击者控制的输入被后端持久化存储并在WebUI中不正确编码后再次呈现,允许在WebUI上下文中执行任意JavaScript代码,影响查看受影响页面的用户,可能导致会话令牌窃取或未经授权的行为。 影响 所有认证用户: 可能执行攻击者控制的JavaScript。 放大因素: - 会话Cookie可被JavaScript访问(缺少HttpOnly标志)。 - API令牌通过JavaScript变量暴露给WebUI。 潜在攻击举例: 泄露会话令牌、冒充用户创建新身份、 创建/删除RSE、数据泄露等。 缓解/修复措施 内容安全策略: 严格实施。 加密Cookie: 设置HttpOnly标志。 API令牌保护: 避免在可访问JavaScript的变量中暴露。 参考资料 OWASP XSS防范指南