CVE-2024-58344Carbon Forum 5.9.0版本中存在一个存储型跨站脚本(XSS)漏洞。该漏洞源于应用程序在处理后台设置中的“论坛名称”字段时,未对用户输入进行充分的过滤和转义。经过身份验证的管理员可以在该字段中注入恶意的JavaScript代码,该代码会被持久化存储在服务器数据库中。当其他用户访问论坛页面时,这段恶意脚本会在其浏览器中自动执行,从而导致会话劫持和数据窃取等安全风险。
该漏洞的原理在于Carbon Forum对管理员通过仪表盘设置提交的“论坛名称”参数缺乏有效的输出编码。攻击者首先需要获取管理员权限,随后在“论坛名称”输入框中植入XSS Payload(如`<script>alert(document.cookie)</script>`)。由于应用程序直接将未经过滤的数据存储到数据库中,并在渲染页面头部或标题时回显该数据,浏览器将其解析为HTML/JS代码执行。根据CVSS 3.1向量(S:C),该漏洞影响了同源下的所有上下文,允许攻击者利用受害者浏览器的会话凭证执行任意操作。尽管需要管理员权限触发,但这为供应链攻击或内部威胁提供了途径。