某單位 網站儲存型跨站腳本 Stored XSS - HITCON ZeroDay

Vulnerability Detail Report

Vulnerability Overview

  • ZDID: ZD-2026-00912
  • Title: 某單位 網站儲存型跨站腳本 Stored XSS
  • Introduction: 攻擊者無須登入即可透過分享作品功能,把 JavaScript 惡意程式碼儲存在作品的角色造型(`costume`)欄位中;當任何使用者開啟該分享連結 `https://ai-scratch.zeabur.app/play/<id>` 時,惡意程式碼會在網站來源(origin)下自動執行,且全程無需點擊互動。

處理狀態

目前狀態

新提交
Last Update : 2026/07/10
  • 新提交
  • 未審核
  • 未通報
  • 未修補
  • 未複測
  • 公開

處理歷程

  • 2026/07/10 21:41:22 : 新提交 (由 Ianon 更新此狀態)
  • 2026/07/10 21:47:18 : 新提交 (由 Ianon 更新此狀態)

詳細資料

  • ZDID:ZD-2026-00912
  • 通報者:Ianon (Ianon)
  • 風險:中
  • 類型:基於 DOM 的 XSS (DOM-based Cross-Site Scripting)

留言討論

;