Bdtask Isshue软件发现严重HTML注入漏洞，威胁企业安全

Bdtask Isshue软件发现HTML注入漏洞

西班牙马德里 – 2026年1月19日 – 西班牙国家网络安全研究所计算机紧急响应团队（INCIBE-CERT）发布警报，称广泛使用的问题跟踪与项目管理软件Bdtask Isshue中发现严重HTML注入漏洞。若被利用，攻击者可在用户浏览器中执行恶意脚本，导致数据泄露或会话劫持等风险。

技术细节

该漏洞源于Isshue应用程序中输入验证不足，允许攻击者将任意HTML或JavaScript代码注入网页。当毫无防备的用户与受感染界面交互时，恶意脚本将在其浏览器环境中执行，可能引发以下攻击：

• 跨站脚本（XSS）攻击
• 会话Cookie窃取
• 钓鱼或重定向至恶意网站
• 网页界面篡改

截至发稿时，该漏洞尚未分配CVE ID。INCIBE-CERT已将其风险等级评定为高危，因其在企业环境中具有广泛的潜在利用可能性。

影响分析

使用Bdtask Isshue进行项目管理或问题跟踪的组织面临以下风险：

• 通过窃取会话令牌未经授权访问敏感数据
• 通过凭证收割用户账户被盗
• 因网页界面被篡改或操纵导致声誉受损
• 若被用于窃取受监管数据，可能导致合规违规

对于依赖Isshue进行内部协作的团队，该漏洞尤为令人担忧，因其可能成为更广泛网络入侵的入口点。

建议措施

INCIBE-CERT建议安全团队采取以下行动：

1. 立即安装补丁：一旦Bdtask发布修复该漏洞的更新，立即应用。
2. 实施内容安全策略（CSP）头：以降低XSS风险。
3. 监控网络流量：检测异常脚本执行或出站连接。
4. 用户培训：教育用户识别钓鱼尝试或可疑链接。
5. 限制访问：在完成修复前，将Isshue实例访问限制在可信网络内。

更多详情，请参阅INCIBE-CERT原始公告。

本报道持续更新，相关信息公布后将及时补充。