CVE-2026-24906 CVSS 5.4 中危

CVE-2026-24906 October CMS存储型XSS漏洞

披露日期: 2026-04-14

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-24906

漏洞类型

存储型跨站脚本攻击 (Stored XSS)

CVSS评分

5.4 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

需要交互 (UI:R)

影响产品

October CMS

漏洞概述

October CMS 在 3.7.14 和 4.1.10 之前的版本中存在存储型跨站脚本（XSS）漏洞。漏洞位于后端编辑器设置中的 Markup Classes 字段，该字段未对输入进行有效的 CSS 类名字符过滤。攻击者可利用经认证的后端权限注入恶意脚本，这些脚本会在 Froala 编辑器的下拉菜单中未经清理地渲染。当超级用户或其他用户打开富文本编辑器时，恶意 JavaScript 将自动执行。此漏洞可能导致权限提升，利用前提是攻击者需要拥有编辑器设置的权限。

技术细节

该漏洞的核心在于 October CMS 后端编辑器设置对“Markup Classes”字段的输入校验不严。在配置富文本编辑器的段落、内联或表格样式时，系统允许用户输入自定义 CSS 类名。然而，系统未将输入限制在合法的 CSS 字符集内，也未对 HTML 特殊字符进行转义。攻击者拥有编辑器设置权限后，可以在这些字段中注入诸如 `<script>alert(1)</script>` 或带有事件处理器的恶意字符串。由于后端直接存储了这些未经清理的输入，当管理员或超级用户在后台打开任意 RichEditor 进行内容编辑时，编辑器会加载配置并渲染下拉菜单。此时，存储的恶意代码将在受害者的浏览器环境中执行，从而可能导致会话劫持或进一步的权限提升。

攻击链分析

STEP 1

步骤1

攻击者通过认证访问 October CMS 后端，并拥有编辑器设置权限。

STEP 2

步骤2

攻击者在后端编辑器设置的 Markup Classes 字段中注入恶意 JavaScript 载荷。

STEP 3

步骤3

系统将未经过滤的恶意输入存储在数据库中。

STEP 4

步骤4

超级用户或管理员打开包含 RichEditor 的页面进行内容编辑。

STEP 5

步骤5

Froala 编辑器渲染下拉菜单时加载并执行了恶意代码，导致攻击者获取受害者权限。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

// Proof of Concept for CVE-2026-24906
// Context: Backend Editor Settings -> Markup Classes fields
// Description: Inject a malicious script into the style definition.

// Step 1: Navigate to Backend Settings -> Editors -> Rich Editor
// Step 2: In the "Markup Classes" section (e.g., for Paragraph styles), enter the following payload:
var maliciousPayload = '"><script>alert(document.cookie)</script><div class="';

// Step 3: Save the settings.
// Step 4: Wait for a Superuser to open any page containing a RichEditor.
// Result: The JavaScript alert will trigger, executing in the context of the Superuser.

影响范围

October CMS < 3.7.14

October CMS < 4.1.10

防御指南

临时缓解措施

限制编辑器设置权限，仅将其授予完全受信任的管理员，防止普通编辑者恶意修改配置。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表