RosarioSIS 6.7.2 存在存储型跨站脚本（XSS）漏洞风险

RosarioSIS 6.7.2 受存储型跨站脚本（XSS）漏洞影响

安全研究人员发现，广泛使用的开源学生信息系统 RosarioSIS 6.7.2 版本 存在 存储型跨站脚本（XSS） 漏洞。该漏洞通过 Exploit Database 披露，允许攻击者在用户浏览器中注入并执行任意 JavaScript 代码。

技术细节

该漏洞源于 RosarioSIS 对用户输入的清理不足，使攻击者能够在存储用户提供数据的 Web 应用字段中嵌入恶意脚本。当其他用户访问受感染页面时，脚本将在其浏览器环境中执行，可能导致：

• 会话劫持（窃取认证 Cookie）
• 通过伪造登录提示窃取凭据
• 网页篡改或重定向至恶意网站
• 进一步利用浏览器漏洞

该漏洞无需身份验证即可利用，增加了大规模攻击的风险。安全专业人员需注意，这是一个 存储型（持久型）XSS 漏洞，意味着恶意负载将持续嵌入应用程序中，直至手动移除。

影响分析

RosarioSIS 在全球教育机构中广泛部署，用于管理学生记录、出勤和成绩。成功的 XSS 攻击可能导致：

• 泄露敏感的学生或教职工数据
• 通过篡改或删除记录扰乱学校运营
• 成为更广泛网络渗透的入口点

该漏洞复杂度低、影响高，对管理员构成严重威胁。目前已有公开的概念验证（PoC）代码，降低了攻击门槛。

建议措施

1. 立即部署补丁：如有修复版本，请升级至 RosarioSIS 最新版本。关注 官方代码库 的更新。
2. 临时缓解措施：
   • 部署 Web 应用防火墙（WAF） 以过滤恶意负载。
   • 限制敏感字段的写入权限，仅允许可信用户操作。
   • 对存储数据进行全面审计，检查是否存在注入脚本。
3. 用户意识培训：培训教职工和学生识别钓鱼攻击或可疑链接，因为 XSS 常依赖社交工程。

安全团队应优先处理此漏洞，因其可能导致数据泄露及在机构网络中的横向移动。监控日志中的异常活动，如意外脚本执行或未经授权的访问尝试。