CVE-2023-53897CVE-2023-53897是Rukovoditel项目管理系统中存在的一个高危安全漏洞,属于存储型跨站脚本攻击(Stored XSS)。Rukovoditel是一款开源的项目管理和任务跟踪工具,广泛应用于企业和团队的日常工作管理中。该漏洞存在于Rukovoditel 3.4.1版本中,攻击者可以利用系统在处理项目任务评论时的输入验证不足,将恶意的JavaScript脚本代码存储到服务器端。当其他用户访问包含恶意代码的页面时,这些脚本会在受害者浏览器中执行,从而实现会话劫持、敏感信息窃取、钓鱼攻击等恶意操作。由于漏洞属于存储型XSS,恶意代码会永久保存在数据库中,影响所有访问该内容的用户,具有较大的危害范围和持续性。攻击者只需拥有低权限的认证账户即可实施攻击,但需要诱导其他用户与恶意内容产生交互才能触发漏洞利用。
该漏洞的根本原因在于Rukovoditel 3.4.1版本对用户输入的评论内容缺乏充分的输入验证和输出编码。在项目任务评论功能模块中,系统未能对用户提交的文本内容进行严格的HTML标签过滤和JavaScript脚本过滤,导致攻击者可以在评论字段中插入恶意的脚本标签和JavaScript代码。当评论被保存到数据库后,其他用户在查看任务详情或评论列表时,服务器会将这些未经过滤的内容直接返回给客户端浏览器。浏览器在渲染页面时会将恶意脚本作为正常的页面内容执行,从而实现跨站脚本攻击。攻击者可以利用此漏洞执行任意JavaScript代码,包括但不限于:窃取用户会话Cookie、修改页面内容进行钓鱼、诱导用户进行敏感操作、记录用户键盘输入等。由于评论功能是项目协作的常用功能,攻击者有较多机会接触到目标用户。