openstatusHQ openstatus Onboarding Endpoint client.tsx 跨站脚本漏洞

在 openstatusHQ openstatus 的 1b678e71a85961ae319cbb214a8eae634059330c 版本及之前版本中，发现了一个跨站脚本 (XSS) 漏洞。该漏洞影响了文件 apps/dashboard/src/app/(dashboard)/onboarding/client.tsx 中的一个未知函数，特别是 Onboarding Endpoint 组件。攻击者可以通过操纵 callbackURL 参数来利用此漏洞，从而可能在用户的浏览器中执行恶意脚本。由于 openstatus 采用滚动发布模式，因此没有具体的受影响版本。该漏洞的严重程度评分为 CVSS 4.3，表明存在中等风险。攻击可以远程执行，从而增加了暴露风险。

Organizations utilizing openstatusHQ openstatus in their operational environments are at risk, particularly those relying on the application for critical workflows or data management. Teams using older, unpatched deployments are especially vulnerable. Shared hosting environments where multiple users share the same openstatus instance could also be affected, as an attacker could potentially compromise other users' accounts.

• javascript / web:

// Check for unusual callbackURL parameters in network requests
// Look for URLs containing suspicious JavaScript code

• generic web:

curl -I <openstatus_url>/apps/dashboard/src/app/(dashboard)/onboarding/client.tsx | grep callbackURL

• generic web:

# Check access logs for requests with unusual callbackURL parameters
grep 'callbackURL=' /var/log/apache2/access.log

1. 2026-04-08Disclosure

   disclosure

1. 已保留2026-04-08
2. 发布日期2026-04-08
3. 修改日期2026-04-09
4. EPSS 更新日期2026-04-16

此漏洞的主要缓解措施是更新到 openstatusHQ openstatus 的最新可用版本。由于采用滚动发布模式，因此更新会持续实施。请定期检查版本说明和系统更新，以确保您使用的是最新版本。此外，实施严格的网络安全策略，例如输入验证和清理，以降低 XSS 攻击的风险。监控服务器日志以查找可疑活动，并考虑实施 Web 应用程序防火墙 (WAF) 以提供额外的保护层。及时更新对于有效解决此漏洞至关重要。