RPi-Jukebox-RFID 2.8.0 存在存储型 XSS 漏洞（CVE 待分配）

RPi-Jukebox-RFID 2.8.0 发现存储型 XSS 漏洞

安全研究人员近日发现 RPi-Jukebox-RFID 2.8.0——一款流行的 Raspberry Pi 开源点播系统——存在**存储型跨站脚本（Stored XSS）**漏洞。该漏洞允许攻击者通过精心构造的 RFID 标签注入恶意脚本，当其他用户访问时，脚本将在其浏览器中执行。

技术细节

该漏洞（目前尚未分配 CVE 编号）源于 RFID 标签处理功能中输入过滤不足。当用户扫描恶意 RFID 标签时，有效载荷会被存储至应用数据库，并在 Web 界面渲染时未经适当转义，导致受害者浏览器会话中执行任意 JavaScript 代码。

关键技术要点：

• 受影响组件： RFID 标签处理模块
• 攻击向量： 嵌入 JavaScript 的恶意 RFID 标签
• 影响： 会话劫持、凭证窃取或未授权操作
• 利用条件： 需物理或远程访问 RFID 标签输入系统

影响分析

存储型 XSS 漏洞对 RPi-Jukebox-RFID 部署构成重大风险，尤其在共享或公共环境中，例如：

• 使用该系统进行媒体播放的教育机构
• 配备公共点播系统的社区中心或图书馆
• 在智能家居生态中运行该软件的IoT 爱好者

成功利用该漏洞可能导致：

• 通过窃取 Cookie 或令牌劫持会话
• 通过伪造登录提示发起钓鱼攻击
• 若管理功能暴露，提升权限
• 在联网环境中横向移动

建议措施

安全团队及管理员应采取以下措施：

1. 关注补丁： 密切关注 RPi-Jukebox-RFID GitHub 仓库 以获取官方修复。目前尚无补丁发布。
2. 输入验证： 在处理或存储 RFID 标签数据前，实施严格的输入过滤。
3. 内容安全策略（CSP）： 部署 CSP 头，通过限制脚本执行来源缓解 XSS 影响。
4. 网络隔离： 将 RPi-Jukebox-RFID 实例与关键内部网络隔离，限制潜在的横向移动。
5. 用户培训： 培训用户识别可疑活动，如意外弹窗或登录提示。

更多技术分析，请参阅 Exploit-DB 上的原始漏洞披露。

该漏洞凸显了 IoT 及嵌入式系统中安全编码实践的重要性，其物理与数字攻击面往往交织存在。