Novee Security 的研究人員揭露了 Pretalx 中的一個高風險漏洞，Pretalx 是一個開源平台，為全球許多技術會議提供論文徵集 (CFP) 和日程安排流程支援。該漏洞被追蹤為 CVE-2026-41241，被描述為儲存型 XSS 問題，它允許任何註冊的會議演講者植入惡意程式碼，該程式碼會在組織者搜尋攻擊者提交的內容時靜默執行。Pretalx 版本 2026.1.0 已修正此漏洞。

由於數十個備受矚目的技術會議共享同一個底層 Pretalx 程式碼庫，因此單一的攻擊技術可以同時部署到所有部署中。惡意行為者可以向多個會議提交帶有陷阱的演講提案，等待組織者搜尋其提交內容，然後無需任何進一步互動即可自動入侵這些組織者的帳戶。

然而，Novee 的研究人員找到了一種方法來繞過這兩種防禦措施，他們將無害的平台功能（具體來說，是上傳演講者資料的功能和搜尋結果的顯示方式）組合成一個鏈，從而能夠在組織者的瀏覽器中完全執行 JavaScript。

其影響可能高達100%的演講通過率。理論上，利用此漏洞和人工智慧代理的攻擊者可以自動向所有使用Pretalx平台的活動提交演講，將惡意程式碼嵌入到包含常用搜尋字詞的演講標題中，然後等待組織者的查詢觸發攻擊，從而強制演講未經任何真正審核就被接受。

原文連結：https://www.securityweek.com/vulnerability-in-popular-conference-software-granted-attackers-a-100-talk-acceptance-rate/