【高危漏洞】CVE-2026-23880：OnboardLite 存储型 XSS 漏洞分析

漏洞概述

OnboardLite 是一个为佛罗里达中央大学（University of Central Florida）学生组织开发的会员生命周期管理平台。该平台在特定版本中存在存储型跨站脚本（Stored XSS）漏洞，攻击者可利用该漏洞在管理员执行 Discord 账户迁移操作时，向其浏览器注入恶意脚本，从而窃取敏感信息或执行未授权操作。

漏洞详情

• CVE 编号：CVE-2026-23880
• 漏洞类型：存储型跨站脚本（Stored Cross-Site Scripting, CWE-79）
• CVSS 评分：7.3（HIGH），CVSS 向量：CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:N
• 影响版本：早于 commit 1d32081a66f21bcf41df1ecb672490b13f6e429f 的所有 OnboardLite 版本

影响范围

该漏洞影响使用 OnboardLite 平台并运行在 commit 1d32081a66f21bcf41df1ecb672490b13f6e429f 之前版本的所有部署实例，特别是那些允许用户绑定 Discord 账户并由管理员执行账户迁移操作的环境。

风险分析

由于该漏洞属于存储型 XSS，攻击者可将恶意脚本持久化存储在系统中。当具有权限的管理员在后台访问受影响的用户数据（如执行 Discord 账户迁移）时，恶意脚本将在其浏览器中执行。这可能导致会话劫持、敏感数据泄露（如 Cookie、CSRF Token）、管理员操作被伪造等严重后果。尽管攻击需要用户交互（UI:R）且攻击者需具备低权限账户（PR:L），但其对完整性和机密性的影响均为“高”，整体风险等级为高危。

修复建议

• 立即升级 OnboardLite 至包含修复提交 1d32081a66f21bcf41df1ecb672490b13f6e429f 的版本，该提交已对用户输入进行适当转义和过滤，防止 XSS 注入。
• 若无法立即升级，建议临时限制非可信用户对 Discord 账户字段的写入权限，并对管理员操作界面实施内容安全策略（CSP）以缓解潜在的脚本执行风险。

参考链接

• GitHub 修复提交
• GitHub 安全公告（GHSA-93w8-83cg-h89g）