CVE-2026-23643 CakePHP PaginatorHelper跨站脚本漏洞

漏洞信息

漏洞编号

CVE-2026-23643

漏洞类型

跨站脚本（XSS）

CVSS评分

5.4 中危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

需要交互 (UI:R)

影响产品

CakePHP

漏洞概述

CVE-2026-23643是CakePHP框架中的一个存储型跨站脚本（Stored XSS）漏洞。CakePHP是一个流行的PHP快速开发框架，广泛应用于Web应用程序开发。该漏洞存在于PaginatorHelper::limitControl()方法中，该方法用于生成分页限制控件。由于该方法在处理用户可控的查询字符串参数时，未对输出内容进行充分的HTML转义和过滤，攻击者可以通过构造恶意的URL参数注入任意JavaScript代码。当其他用户访问包含恶意脚本的页面时，攻击代码将在其浏览器上下文中执行，可能导致会话劫持、敏感信息窃取、钓鱼攻击等安全问题。此漏洞的CVSS评分为5.4，属于中等严重程度，需要用户交互才能触发，攻击复杂度较低。

技术细节

该漏洞的根本原因在于PaginatorHelper::limitControl()方法对URL查询字符串参数的处理不当。当用户访问包含特殊构造的查询参数页面时，例如在URL中添加如limit=10这样的参数时，方法会将该值直接输出到HTML页面而未进行适当的HTML实体编码。攻击者可以利用此漏洞在查询参数中注入恶意JavaScript代码，如<img src=x onerror=alert(document.cookie)>等payload。当其他用户访问该页面或点击包含恶意参数的链接时，攻击代码会在受害者浏览器中执行。由于该漏洞位于分页组件中，几乎所有使用CakePHP分页功能的页面都可能受到影响。攻击者可以通过社交工程手段诱导管理员或普通用户访问恶意链接，从而窃取认证凭证、会话令牌或其他敏感信息。修复措施包括对所有用户输入进行严格的输入验证，并在输出时使用htmlspecialchars()或类似函数进行HTML实体编码。

攻击链分析

STEP 1

步骤1

攻击者识别目标网站使用的CakePHP框架版本，确认版本低于5.2.12或5.3.1

STEP 2

步骤2

攻击者构造恶意URL，在查询字符串参数中添加XSS payload，如limit=10"><script>alert(document.cookie)</script>

STEP 3

步骤3

攻击者通过钓鱼邮件、社交媒体或其他渠道诱导目标用户访问恶意URL

STEP 4

步骤4

目标用户的浏览器发送请求到CakePHP应用，PaginatorHelper::limitControl()方法处理恶意参数

STEP 5

步骤5

由于缺少输出编码，恶意JavaScript代码被嵌入到返回的HTML页面中

STEP 6

步骤6

目标用户的浏览器解析HTML时执行恶意脚本，攻击者成功窃取Cookie、会话令牌或其他敏感信息

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

<!-- CVE-2026-23643 PoC - XSS in CakePHP PaginatorHelper::limitControl() -->
<!-- Attack URL ( victim's browser will execute malicious JS ) -->
<!-- URL: http://target-website.com/controller/action?limit=10"><script>alert(document.cookie)</script> -->

<!-- PoC HTML Form to demonstrate the vulnerability -->
<form action="http://target-website.com/posts/index" method="GET">
    <input type="hidden" name="limit" value="10\"><script>alert('XSS')</script>" />
    <button type="submit">View Page with Malicious Limit</button>
</form>

<!-- Example of vulnerable URL generation -->
<!-- 
Vulnerable code pattern in CakePHP PaginatorHelper:
public function limitControl($limit = null, $maxLimit = null, $model = null) {
    // Vulnerable: directly outputs unsanitized parameter
    $passedArgs = $this->request->getQuery('limit');
    // Should use htmlspecialchars($passedArgs, ENT_QUOTES, 'UTF-8')
    return $passedArgs;  // XSS vulnerability here
}
-->

<!-- Suggested fix (apply proper output encoding) -->
<!-- 
$safeLimit = htmlspecialchars($passedArgs, ENT_QUOTES | ENT_HTML5, 'UTF-8');
return $safeLimit;
-->

影响范围

CakePHP < 5.2.12

CakePHP < 5.3.1

防御指南

临时缓解措施

如果无法立即升级CakePHP版本，可以采取以下临时缓解措施：在应用层对所有查询字符串参数进行严格的输入验证，拒绝包含特殊字符的输入；在输出所有用户可控数据前使用htmlspecialchars()函数进行HTML实体编码；配置Content-Security-Policy响应头限制内联脚本执行；为会话Cookie设置HttpOnly和Secure属性；考虑临时禁用PaginatorHelper的limitControl功能或实现自定义的安全包装器。