发布日期：2024-09-30
更新日期：2025-03-13

受影响系统：

Xhofe AList < 3.29.0

描述：

---

CVE(CAN) ID: CVE-2024-47067

AList是中国Xhofe个人开发者的一个支持多存储的文件列表程序。
AList 3.29.0之前版本在helper.go中存在反射型跨站脚本漏洞，该漏洞源于端点/i/:link_name接收用户提供的值并将其反射回响应中，攻击者可以利用该漏洞在该端点返回一个application/xml响应时，通过XHTML引入HTML标签，从而导致跨站脚本攻击。

<**>

建议：

---

厂商补丁：

Xhofe
-----
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：
https://github.com/alist-org/alist/releases/tag/v3.29.0

浏览次数：61
严重程度：0（网友投票）