CVE-2026-30559 CVSS 6.1 中危

CVE-2026-30559 SourceCodester库存系统XSS漏洞

披露日期: 2026-03-30

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-30559

漏洞类型

Reflected XSS

CVSS评分

6.1 中危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

需要交互 (UI:R)

影响产品

SourceCodester Sales and Inventory System

漏洞概述

SourceCodester Sales and Inventory System 1.0版本中存在反射型跨站脚本（XSS）漏洞。该漏洞位于add_sales.php文件的msg参数处，由于应用程序未对用户输入进行适当的清理和过滤，远程攻击者可通过构造恶意的URL链接，向目标系统注入任意的Web脚本或HTML代码。当受害者点击该链接时，恶意脚本将在其浏览器中执行，可能导致窃取Cookie或会话劫持等安全风险。

技术细节

该漏洞的核心原因在于SourceCodester Sales and Inventory System 1.0在处理add_sales.php页面的请求时，直接将用户通过GET请求提交的msg参数值输出到响应页面中，而未进行任何HTML实体编码或转义处理。攻击者可以利用这一缺陷，构造包含恶意JavaScript代码的URL（例如：<script>alert(document.cookie)</script>）。由于该漏洞属于反射型XSS，攻击者通常需要结合社会工程学手段诱导受害者点击特制的恶意链接。一旦受害者访问该链接，服务器会接收msg参数并将其原样反射回浏览器响应中。受害者的浏览器解析HTML页面时，会误将注入的脚本代码作为合法的HTML/JS执行。鉴于CVSS向量中包含了S:C（范围改变），这意味着漏洞的影响可能不仅限于当前页面，恶意脚本可能通过DOM操作访问其它站点的数据或修改当前浏览器会话的状态，从而窃取敏感信息（如Session ID）或进行钓鱼攻击。

攻击链分析

STEP 1

1. 信息收集

攻击者确认目标系统运行的是SourceCodester Sales and Inventory System 1.0版本。

STEP 2

2. 构造Payload

攻击者构造包含恶意JavaScript代码的URL，针对add_sales.php接口的msg参数进行注入。

STEP 3

3. 诱导点击

攻击者通过网络钓鱼或社会工程学手段，诱导已登录的受害者点击包含恶意Payload的链接。

STEP 4

4. 执行攻击

受害者访问链接，服务器接收参数并未经过滤直接反射回浏览器，浏览器解析并执行恶意脚本。

STEP 5

5. 会话劫持

恶意脚本窃取受害者的Session Cookie或其他敏感信息，发送给攻击者控制的服务器。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests

target_url = "http://target-site/path/add_sales.php"
xss_payload = "<script>alert('CVE-2026-30559')</script>"

# Inject payload into the vulnerable parameter
response = requests.get(target_url, params={"msg": xss_payload})

# Check if payload is reflected in the response
if xss_payload in response.text:
    print("[+] Vulnerability confirmed: Payload reflected successfully.")
else:
    print("[-] Vulnerability not detected.")

影响范围

SourceCodester Sales and Inventory System 1.0

防御指南

临时缓解措施

建议开发者立即修改add_sales.php文件，对msg参数使用 htmlspecialchars() 函数进行转义处理，防止浏览器将其解析为HTML标签。在官方修复补丁发布前，可实施Web应用防火墙（WAF）规则以拦截针对该参数的常见XSS攻击特征。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表