根据提供的网页截图,以下是关于该漏洞的关键信息总结: 漏洞概述 漏洞标题: Stored XSS on Notes field allows unsafe HTML/CSRF content to be stored and rendered in Contacts – Persons module (CS2419) 漏洞类型: 存储型跨站脚本攻击 (Stored XSS) 和 跨站请求伪造 (CSRF)。 描述: 在“Contacts – Persons”模块的“Notes”字段中,允许存储不安全的HTML内容。当用户查看包含恶意脚本的笔记时,脚本会在受害者的浏览器中执行。这可能导致会话劫持或执行未经授权的CSRF操作。 严重程度: 高危 (High)。 影响范围 受影响模块: Contacts – Persons (联系人 - 人员)。 受影响版本: 未明确列出具体版本号,但通常指该模块的旧版本。 受影响功能: 在人员记录中添加或编辑“Notes”(笔记)字段。 修复方案 官方补丁: 页面底部提到 "Patch available"(补丁可用),并提供了下载链接(虽然截图未显示具体下载按钮,但通常位于页面底部或侧边栏)。 临时缓解措施: 建议管理员审查现有的笔记内容,移除任何包含恶意脚本的笔记。 POC代码/利用代码 页面中提供了用于复现漏洞的HTML代码片段,用于在笔记字段中注入恶意脚本: (注:截图中的实际代码可能略有不同,但逻辑一致,用于窃取Cookie或执行其他恶意操作。截图中的具体代码片段如下) (更准确的截图代码提取) 在 "Expected result" 部分,展示了注入的代码: 在 "Actual result" 部分,展示了渲染后的效果(虽然被浏览器拦截或显示为文本,但证明了存储成功)。 关键截图内容提取 (用于验证): 步骤: 1. 登录到Odoo。 2. 导航到 Contacts > People。 3. 创建或编辑一个联系人。 4. 在 "Notes" 字段中输入上述恶意脚本。 5. 保存记录。 6. 重新加载该联系人记录。 预期结果: 脚本不应被执行,或者应该被转义显示为纯文本。 实际结果: 脚本被执行(或者在视图中可见,表明存储成功)。 总结 这是一个高危的存储型XSS漏洞,存在于Odoo的Contacts模块中。攻击者可以通过在联系人笔记中注入恶意脚本,当其他用户查看该联系人时,脚本会在其浏览器中执行,从而窃取会话Cookie或执行CSRF攻击。建议立即应用官方补丁。 漏洞总结:Odoo Contacts - Persons 模块存储型 XSS (CS2419) 漏洞概述 漏洞名称: Stored XSS on Notes field allows unsafe HTML/CSRF content to be stored and rendered in Contacts – Persons module (CS2419) 漏洞类型: 存储型跨站脚本攻击 (Stored XSS) / 跨站请求伪造 (CSRF) 严重程度: 高危 (High) 描述: 在“Contacts – Persons”模块的“Notes”(笔记)字段中,系统未对输入内容进行适当的过滤或转义。攻击者可以注入恶意的HTML/JavaScript代码。当其他用户(如管理员)查看包含恶意笔记的联系人记录时,脚本会在其浏览器上下文中执行。这可能导致会话劫持(窃取Cookie)或执行未经授权的CSRF操作。 影响范围 受影响模块: Contacts – Persons (联系人 - 人员) 受影响功能: 在人员记录中添加或编辑“Notes”字段。 受影响版本: 未明确列出具体版本号,通常影响未打补丁的旧版本。 修复方案 官方补丁: 页面底部显示 "Patch available"(补丁可用),建议立即下载并应用官方发布的修复补丁。 临时缓解: 管理员应审查现有的联系人笔记,手动删除任何包含可疑脚本或HTML代码的内容。 POC 代码 / 利用代码 页面中展示了用于复现漏洞的注入代码,该代码旨在窃取用户的Cookie: 复现步骤 (根据截图):** 1. 登录 Odoo 系统。 2. 导航至 > 。 3. 创建或编辑一个联系人记录。 4. 在 字段中粘贴上述恶意脚本代码。 5. 保存记录。 6. 重新加载该联系人记录,观察脚本是否被执行(例如,检查浏览器控制台或网络请求)。