CVE-2026-34718Zammad是一款基于Web的开源帮助台系统。在7.0.1和6.5.4之前的版本中,其工单文章的HTML清理器未能正确清理data URI方案。这导致攻击者可以将包含恶意内容的data URI存储在Zammad数据库中。尽管Zammad GUI会渲染这些内容,但由于CSP规则的存在,点击此类链接通常不会造成直接危害,但仍存在安全隐患。该漏洞已在7.0.1和6.5.4版本中修复。
该漏洞的核心在于Zammad系统对工单文章内容进行HTML净化时的逻辑缺陷。具体而言,系统未能有效识别并过滤掉`data:` URI协议,这是一种常用于内嵌数据的协议。攻击者利用此缺陷,可以构造包含JavaScript代码的`data:`链接,并通过工单提交接口将其发送至服务器。由于缺乏适当的清理,该恶意载荷被直接存储在数据库中。后续,当具有权限的用户在Web界面打开该工单时,浏览器会解析这些HTML内容,尝试加载`data:` URI。尽管Zammad部署了CSP来限制外部脚本加载,从而在一定程度上阻止了直接XSS执行,但该漏洞仍构成风险,特别是在CSP配置不严格的情况下,可能被利用于窃取会话信息。