1. 分析用户请求: 目标:总结网页截图中的漏洞关键信息。 格式:简洁的中文Markdown。 包含内容:漏洞概述、影响范围、修复方案。 特殊要求:如果有POC或利用代码,必须完整提取。 排除内容:导航栏、广告、页脚。 输出限制:直接输出中文总结,不要分析过程。 2. 提取关键信息: 标题/漏洞名称:Stored XSS in discourse-ai shared conversations onbox (discourse-ai 共享对话 onbox 中的存储型 XSS)。 软件名称:Discourse。 严重程度 (Severity):Moderate (中等)。 CVE ID:CVE-2026-32243 (注意:截图中的年份是2026,这看起来像是一个未来的或者测试用的ID,或者是截图本身有特殊性,但我必须忠实于截图内容)。 受影响版本 (Affected versions): >= 0 >= 2026.2.0-latest >= 2026.1.0-latest 已修复版本 (Patched versions): 2026.3.0 2026.2.2 2026.1.3 描述 (Description/Impact): 能够创建共享 AI 对话的攻击者可以通过精心制作的对话标题注入任意 HTML 和 JavaScript。 此 payload 会在查看 onbox 预览的任何用户的浏览器中执行。 潜在后果:会话劫持 (session hijacking) 或代表受害者执行未授权操作。 解决方案 (Workaround): Update to latest version (更新到最新版本)。 代码检查:截图中没有显示具体的 POC 代码或利用代码块,只有文字描述。 3. 组织语言 (中文): 漏洞概述:Discourse 软件中的 discourse-ai 插件存在存储型 XSS 漏洞。攻击者可以通过创建共享 AI 对话,在对话标题中注入恶意 HTML 和 JavaScript 代码。当其他用户查看 onbox 预览时,恶意代码会在其浏览器中执行,可能导致会话劫持或执行未授权操作。 影响范围: 软件:Discourse 受影响版本:>= 0, >= 2026.2.0-latest, >= 2026.1.0-latest 严重程度:Moderate (中等) CVE ID: CVE-2026-32243 修复方案: 更新到已修复版本:2026.3.0, 2026.2.2, 或 2026.1.3。 或者更新到最新版本。 4. 最终检查: 是否包含了所有要求的部分?是。 是否有代码?没有,所以不需要提取代码块。 是否简洁?是。 是否直接输出?是。 5. 生成输出:(转化为Markdown格式) 漏洞关键信息总结 漏洞概述 漏洞名称:Stored XSS in discourse-ai shared conversations onbox 受影响软件:Discourse 严重程度:Moderate (中等) CVE ID:CVE-2026-32243 描述:在 discourse-ai 的共享对话 onbox 中存在存储型跨站脚本 (XSS) 漏洞。能够创建共享 AI 对话的攻击者可以通过精心制作的对话标题注入任意 HTML 和 JavaScript。此 payload 会在查看 onbox 预览的任何用户的浏览器中执行,可能导致会话劫持或代表受害者执行未授权操作。 影响范围 受影响版本: >= 0 >= 2026.2.0-latest >= 2026.1.0-latest 修复方案 已修复版本: 2026.3.0 2026.2.2 2026.1.3 建议措施:更新到最新版本 (Update to latest version)。 (注:截图中未包含具体的 POC 代码或利用代码块)