CVE-2020-37236 CVSS 6.4 中危

CVE-2020-37236 NewsLister 存储型XSS漏洞

披露日期: 2026-05-16

来源: [email protected]

漏洞信息

漏洞编号

CVE-2020-37236

漏洞类型

存储型XSS

CVSS评分

6.4 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

NewsLister

漏洞概述

NewsLister软件中存在一个经过身份验证的持久型跨站脚本（XSS）漏洞。该漏洞源于后台新闻添加接口对标题参数缺乏严格的过滤。经过身份验证的管理员可利用该漏洞在新闻标题中注入恶意JavaScript代码。一旦其他用户访问包含恶意代码的新闻列表页面，脚本将在其浏览器端自动执行，进而攻击者可利用此漏洞窃取用户会话凭证、篡改页面内容或执行其他恶意操作，对系统安全构成严重威胁。

技术细节

该漏洞属于存储型XSS（Stored XSS），漏洞发生在NewsLister系统的管理后台新闻发布模块。由于系统在处理用户提交的新闻标题时，未对特殊字符（如 <, >, ', " 等）进行有效的HTML实体编码或输入验证，导致攻击者能够将恶意的HTML/JavaScript脚本写入数据库。利用流程：攻击者首先需要拥有管理员权限或能够访问新闻发布功能。在添加新闻时，攻击者在“Title”字段构造Payload，例如 <script>alert(document.cookie)</script>。该数据被服务器接收并直接存储在数据库中。随后，当普通用户或管理员访问展示该新闻的页面时，服务器会从数据库读取包含恶意代码的标题并呈现在网页上。由于缺乏输出转义，浏览器将恶意代码解析为可执行脚本，从而触发攻击。这种类型的漏洞危害范围广，因为恶意脚本会持久化在服务器端，影响所有访问该页面的用户。

攻击链分析

STEP 1

步骤1：身份认证

攻击者获取管理员账号密码，成功登录NewsLister后台管理系统。

STEP 2

步骤2：Payload注入

攻击者导航至新闻添加界面，在“Title”参数中输入包含恶意JavaScript的Payload。

STEP 3

步骤3：数据存储

服务器接收请求，由于缺乏过滤，将恶意代码直接存储在数据库中。

STEP 4

步骤4：触发漏洞

其他用户（包括管理员或普通访客）浏览新闻列表页面。

STEP 5

步骤5：代码执行

浏览器解析新闻标题时执行恶意脚本，导致XSS攻击生效。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

// PoC for CVE-2020-37236: NewsLister Authenticated Stored XSS
// Target: Title parameter in news addition interface

// Payload to inject in the 'title' field:
"<script>alert('CVE-2020-37236_XSS');</script>"

// Alternative payload to demonstrate interaction:
// <img src=x onerror=alert('XSS')>

影响范围

NewsLister (具体版本未在提供文本中明确)

防御指南

临时缓解措施

建议厂商尽快修复输入验证机制。对于用户，建议在补丁发布前，仅允许受信任的管理员访问新闻发布功能，并可部署Web应用防火墙（WAF）对恶意脚本特征进行拦截。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表