CVE-2025-13584Eigenfocus是一款存在安全漏洞的项目管理系统。该漏洞源于Description Handler组件对用户输入的entry.description和time_entry.description参数缺乏充分的输入验证和输出编码。攻击者可通过在描述字段中注入恶意JavaScript代码,当其他用户查看相关数据时,恶意脚本将在其浏览器中执行,从而窃取会话令牌、劫持用户账户或进行其他恶意操作。漏洞影响版本至1.4.0,CVSS评分3.5,属于低危级别。
该XSS漏洞位于Eigenfocus的Description Handler组件中,具体问题在于未对entry.description和time_entry.description参数进行严格的输入过滤和HTML转义处理。攻击者可在描述字段中插入<script>alert('XSS')</script>等恶意代码,系统直接存储并呈现该内容而未进行转义。当受害者访问包含恶意代码的页面时,浏览器会将其作为合法脚本执行,导致敏感信息泄露或会话被劫持。修复版本1.4.1通过添加输入验证和输出编码来解决此问题。