Bugsink 存在通过 stacktrace 渲染中的 Pygments 回退机制实现的存储型 XSS 漏洞

该 XSS 漏洞允许未经身份验证的攻击者通过向 Bugsink 项目提交事件来存储恶意 JavaScript 代码。一旦攻击者成功存储了恶意代码，当其他用户在 Web UI 中查看受影响的 Stacktrace 时，该代码将被执行。这可能导致攻击者窃取用户的敏感信息，例如 Cookie 和会话令牌，或者将用户重定向到恶意网站。更严重的攻击者甚至可以利用此漏洞完全控制受害者的帐户，并进行进一步的恶意活动。由于漏洞无需身份验证即可利用，因此潜在影响范围非常广泛。

Organizations using Bugsink for error tracking and debugging are at risk, particularly those with public-facing DSN endpoints. Shared hosting environments where multiple users share a Bugsink instance are also at increased risk, as an attacker could potentially exploit the vulnerability through another user's event submissions. Teams relying on legacy configurations or outdated deployment practices are also more vulnerable.

• python / server:

# Check for vulnerable versions of Bugsink
import subprocess
result = subprocess.run(['pip', 'show', 'bugsink'], capture_output=True, text=True)
if 'Version: <=2.0.9' in result.stdout:
    print('Vulnerable Bugsink version detected!')

• generic web:

curl -I https://your-bugsink-instance/ | grep -i 'content-security-policy'
# Look for missing or weak CSP policies that allow inline scripts

1. 2026-02-25Disclosure

   disclosure

1. 已保留2026-02-20
2. 发布日期2026-02-25
3. EPSS 更新日期2026-03-23

最有效的缓解措施是立即将 Bugsink 升级至 2.0.13 或更高版本。如果由于兼容性问题无法立即升级，可以考虑以下临时缓解措施：限制用户可以提交的事件类型，并对所有用户提交的数据进行严格的输入验证和输出编码。此外，可以配置 Web 应用程序防火墙 (WAF) 或代理服务器，以检测和阻止包含恶意 JavaScript 代码的请求。监控 Bugsink 日志，查找可疑活动，例如大量事件提交或异常的 Stacktrace 访问模式。