CVE-2021-47732CVE-2021-47732是CMSimple 5.2版本中的一个存储型跨站脚本(XSS)安全漏洞。该漏洞存在于CMSimple的文件浏览器(Filebrowser)功能的External输入字段中,攻击者可以利用此漏洞向系统中注入恶意JavaScript代码。由于是存储型XSS,恶意代码会被永久保存在服务器端数据库或文件系统中,当其他用户访问受影响的页面或点击Page、Files标签时,注入的恶意脚本会自动执行。攻击者可以利用此漏洞窃取用户会话cookie、劫持用户账户、执行恶意操作或传播恶意软件。由于该漏洞需要用户交互才能触发(点击相关标签),因此攻击复杂度较低,但潜在危害严重,可影响所有访问受影响页面的用户。
该漏洞的根本原因在于CMSimple 5.2的Filebrowser模块对External输入字段的用户输入缺乏充分的输入验证和输出编码。当攻击者向该字段提交包含JavaScript代码的恶意字符串时,系统未能对特殊字符进行适当转义或过滤,直接将用户输入存储到后端。当其他用户访问包含该输入的页面时,浏览器会将其作为可信内容解析执行,从而触发XSS攻击。攻击者可以利用<script>标签、事件处理器(如onerror、onload)或其他JavaScript协议来注入恶意代码。由于漏洞位于文件浏览器的核心功能中,几乎所有使用该功能的页面都可能受到影响。攻击成功后,攻击者可在受害者浏览器上下文中执行任意JavaScript代码,包括读取敏感信息、修改页面内容或进行进一步的社会工程攻击。