发布日期：2026-01-30
更新日期：2026-02-09

受影响系统：

Eddie Kohler HotCRP Conference Review Software > 2025.10 < 2026.1

描述：

---

CVE(CAN) ID: CVE-2026-25156

HotCRP是Eddie Kohler个人开发者的一个会议评审软件。用于管理评审过程，尤其是学术会议。
HotCRP Conference Review Software 2025年10月至2026年1月版本存在跨站脚本漏洞，该漏洞源于程序会将所有类型文档以内联形式返回，导致文档会在用户的浏览器中直接渲染显示，而非下载，攻击者可以利用该漏洞执行恶意脚本，远程操控用户账户执行任意操作，在未经授权的情况下访问信息。

<**>

建议：

---

厂商补丁：

Eddie Kohler
------------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商主页下载：
https://github.com/kohler/hotcrp

浏览次数：91
严重程度：0（网友投票）