漏洞概述
Horilla 是一个免费开源的人力资源管理系统(HRMS)。在 1.5.0 版本之前,系统在更新用户头像时未对文件扩展名和内容类型进行校验,导致存在跨站脚本(XSS)漏洞。攻击者可利用该漏洞上传恶意脚本文件,从而在受害者浏览器中执行任意代码。官方已在 1.5.0 版本中修复此问题。
漏洞详情
- CVE 编号:CVE-2026-24034
- 漏洞类型:跨站脚本(XSS)
- CVSS 评分:5.4(MEDIUM)
- 影响版本:Horilla 1.5.0 之前的所有版本
影响范围
所有使用 Horilla 开源人力资源管理系统且版本低于 1.5.0 的部署实例均受此漏洞影响。
风险分析
该漏洞允许具有低权限的认证用户在上传头像时绕过文件类型检查,上传包含恶意脚本的文件。由于无需用户交互即可触发,攻击者可能窃取会话 Cookie、篡改页面内容或执行其他客户端攻击,从而影响系统的机密性和完整性。
修复建议
- 立即升级至 Horilla 1.5.0 或更高版本,以应用官方修复补丁。
- 如无法立即升级,建议在服务器端强制限制用户头像上传的文件类型(仅允许图像格式如 .jpg、.png),并实施内容安全策略(CSP)以缓解 XSS 风险。
