ConnectWise 已为其 Professional Services Automation (PSA) 平台发布关键安全更新,修复了两个可能被攻击者利用的重要漏洞。这些漏洞影响 2026.1 之前的所有版本,并可能通过看似普通的 工时记录(Time Entry)备注 字段,导致恶意脚本执行和会话劫持。
本次安全修复中最受关注的是 CVE-2026-0695,这是一个 高危漏洞,基础评分 8.7。该漏洞被归类为 “网页生成过程中输入未正确过滤”(更常见的名称是 跨站脚本攻击,XSS),它将一个标准的数据输入字段变成了潜在的攻击入口。
根据安全公告,该漏洞源于 “工时记录备注处理” 中的一个特定条件。在未安装新版更新提供的正确输入过滤之前,恶意攻击者可以在工时记录中嵌入脚本。当合法用户(例如管理员或财务人员)在 PSA Web 客户端 或 PSA 桌面应用 中查看该备注时,脚本就会执行。
这种 “存储型 XSS” 尤其危险,因为它会 “等待受害者上门”—— 只要高权限用户查看工时表,就可能被攻陷。
与 XSS 漏洞一同被修复的还有第二个漏洞 CVE-2026-0696,其目标是用户会话的完整性。该漏洞基础评分 6.5,属于 “敏感 Cookie 未设置 HttpOnly 标志”。
HttpOnly 是一项关键安全机制,用于防止客户端脚本访问 Cookie。由于未设置该标志,系统中的 “某些会话 Cookie” 可能被客户端代码读取。当与上述 XSS 漏洞结合时,就形成了一个强大的攻击链:攻击者可以注入脚本窃取这些可访问的会话 Cookie,从而可能劫持用户账户。
ConnectWise 将这些漏洞的严重性归类为 “重要(Important)”,并指出它们 “可能危及机密数据或其他资源”。
PSA 2026.1 版本明确 “更新了输入处理和会话 Cookie 配置,以解决这些问题”。
对于管理员来说,修复方式取决于部署模式:
云用户:
可以放心,ConnectWise 表示 “云实例正在自动更新到最新版本”。
本地部署用户:
必须立即行动。需要 “应用 2026.1 补丁,并确保所有桌面客户端已更新”,以关闭这些安全漏洞。
使用 ConnectWise PSA 的安全团队应立即检查版本号,确保已脱离 “2026.1 之前的版本”。
发表评论
您还未登录,请先登录。
登录