CVE-2022-50680CVE-2022-50680是Kentico Xperience中的一个高危安全漏洞,攻击者通过电子邮件营销模板功能注入恶意脚本代码。该漏洞属于存储型跨站脚本(Stored XSS)漏洞,攻击者只需要管理员权限即可在邮件营销模板中植入恶意JavaScript代码。当其他用户查看或处理这些被污染的模板时,恶意脚本将在其浏览器中执行,可能导致敏感信息窃取、会话劫持、钓鱼攻击等严重后果。由于攻击代码被永久存储在服务器端,所有访问受影响模板的用户都可能成为受害者,危害范围广泛。
该漏洞存在于Kentico Xperience的邮件营销模板处理模块中。系统未能对用户输入的模板内容进行充分的HTML转义和输入验证。攻击者(具有管理员权限)可以在创建或编辑邮件营销模板时,插入恶意的JavaScript代码(如<script>标签或事件处理器如onerror、onload等)。由于应用程序直接将这些内容存储到数据库而未进行安全过滤,当模板被渲染显示给其他用户时,恶意代码会在受害者浏览器中执行。攻击者可利用此漏洞窃取用户Cookie、会话令牌,执行任意操作,或进行进一步的社会工程攻击。