漏洞关键信息 漏洞概述 漏洞详情 Akaunting v3.1.21 开源会计应用中存在存储型XSS漏洞。具有Manager或Admin角色的用户在创建销售文档(发票/账单)时,可在Notes字段中注入HTML/JavaScript payload。该payload未经净化直接存储到数据库,并在浏览器中渲染执行,任何查看该文档的用户都会触发攻击。 影响范围 受影响版本: Akaunting up to 3.1.21 攻击向量: 需至少Manager级别权限(Manager或Admin角色) 攻击目标: 查看发票/账单备注字段的所有用户 修复方案 页面未提供具体修复方案,建议: 升级至 Akaunting v3.1.21 之后的版本 对用户输入的Notes字段内容进行HTML转义和XSS过滤 实施输出编码,防止恶意脚本执行 参考资源 Source: https://docs.google.com/document/d/1TFwYGdjD6EGCMMI0h7PXz0HXzFa_UqWDQZxytM9r1U/edit?usp=sharing GitHub: https://github.com/akaunting/akaunting --- > ⚠️ 页面中未包含POC代码或利用代码。