CVE-2026-0730 CVSS 2.4 低危

CVE-2026-0730 PHPGurukul Staff Leave Management System XSS漏洞

披露日期: 2026-01-08

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-0730

漏洞类型

跨站脚本攻击 (XSS)

CVSS评分

2.4 低危

攻击向量

网络 (AV:N)

认证要求

高权限 (PR:H)

用户交互

需要交互 (UI:R)

影响产品

PHPGurukul Staff Leave Management System 1.0

漏洞概述

PHPGurukul Staff Leave Management System 1.0版本存在存储型跨站脚本漏洞，攻击者可通过SVG文件处理功能在profile_pic参数中注入恶意JavaScript代码，进而窃取用户会话令牌或进行钓鱼攻击。

技术细节

漏洞位于adminviews.py的ADD_STAFF/UPDATE_STAFF函数中，SVG文件上传功能未正确验证文件内容。攻击者上传包含<script>标签的SVG文件，当其他用户查看该文件时，恶意脚本将在其浏览器中执行。

攻击链分析

STEP 1

攻击者访问Staff Leave Management System并上传包含恶意脚本的SVG文件

STEP 2

系统未验证SVG文件内容，直接存储在服务器上

STEP 3

受害者查看该文件，恶意脚本在其浏览器中执行

STEP 4

攻击者通过脚本窃取会话令牌或执行其他恶意操作

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

<svg xmlns="http://www.w3.org/2000/svg"><script>alert(document.cookie)</script></svg>

影响范围