CVE-2023-42345Alkacon OpenCms 16之前的版本中存在一个跨站脚本(XSS)漏洞,该漏洞位于`updateModelGroups.jsp`组件中。由于应用程序未能对用户提交的输入数据进行充分的过滤和转义,攻击者可以构造包含恶意JavaScript代码的特制请求。当未经身份认证的受害者被诱骗访问该恶意链接时,攻击者注入的脚本将在受害者浏览器中执行。此漏洞的成功利用可能导致攻击者窃取用户的会话Cookie、重定向用户至恶意网站,或者在受害者的浏览器上下文中执行任意操作,从而对系统的机密性和完整性造成低程度的影响。
该漏洞的技术根源在于Alkacon OpenCms的`updateModelGroups.jsp`页面缺乏对HTTP请求参数的安全处理。在Web应用开发中,将未经验证的用户输入直接反射到HTTP响应中是导致XSS的典型原因。在本例中,攻击者可以通过URL参数(如模型ID或其他表单字段)注入恶意载荷。例如,通过在参数中插入`<script>alert(document.cookie)</script>`等代码,服务器端JSP引擎在解析请求并生成HTML响应时,会将该恶意代码原样包含在响应页面中。由于CVSS向量显示UI:R(需要用户交互),这表明攻击通常需要诱导目标用户点击特定的恶意链接。尽管CVSS评分显示无需认证(PR:N),但实际危害往往针对已登录的管理员或用户,以便利用其身份权限。利用该漏洞不需要复杂的网络攻击技能,只需基本的HTTP请求构造能力即可实现。