热门会议软件漏洞让攻击者实现 100% 录用率

Novee 安全研究人员披露了 Pretalx 中的一个高危漏洞，Pretalx 是一个开源平台，为全球众多技术会议提供征稿（CFP）和日程安排服务。

该漏洞被追踪为 CVE-2026-41241，属于存储型 XSS 问题，允许任何已注册的会议演讲者植入恶意代码，一旦会议组织者搜索攻击者提交的内容，恶意代码就会悄悄执行。

该漏洞已在 Pretalx 2026.1.0 版本中修复。
由于数十个知名技术会议共享同一个 Pretalx 代码库，单一攻击技术可以同时部署到所有实例上。
恶意行为者可以向多个会议提交带有陷阱的演讲提案，等待组织者搜索他们的提交内容，然后无需进一步交互就能自动攻陷这些组织者的账户。

该平台的安全机制旨在阻止未经授权的脚本运行，浏览器自身的安全系统也应该能够抑制注入的代码。

但 Novee 研究人员找到了绕过这两层防御的方法：他们将无害的平台功能（具体来说就是上传演讲者材料的功能，以及搜索结果的显示方式）组合成一条攻击链，能够在组织者的浏览器中实现完整 JavaScript 执行。

该漏洞的影响甚至可以达到 100% 录用率。理论上来说，掌握此漏洞的攻击者结合 AI 代理，可以自动向所有使用 Pretalx 的活动提交申请，将恶意 payload 嵌入使用常见搜索词的提交标题中，等待组织者的搜索触发漏洞，从而无需任何真实审核就能强制让自己的演讲被录用。