CVE-2026-30566 CVSS 6.1 中危

CVE-2026-30566 SourceCodester销售库存系统XSS漏洞

披露日期: 2026-03-30

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-30566

漏洞类型

反射型跨站脚本

CVSS评分

6.1 中危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

需要交互 (UI:R)

影响产品

SourceCodester Sales and Inventory System

漏洞概述

SourceCodester Sales and Inventory System 1.0版本存在反射型跨站脚本（XSS）漏洞。该漏洞源于view_customers.php文件未对“limit”参数进行充分过滤。远程攻击者可利用此漏洞，通过构造特制的恶意链接诱导用户点击，进而在受害者浏览器中执行任意Web脚本或HTML代码，可能导致窃取Cookie或会话劫持。

技术细节

该漏洞属于反射型XSS。应用程序在view_customers.php页面处理用户请求时，直接将GET参数“limit”的值输出到页面响应中，未进行任何HTML实体编码或输入验证。攻击者可以构造包含恶意JavaScript代码的URL，例如`/view_customers.php?limit=10<script>alert(document.cookie)</script>`。当受害者访问此URL时，服务器会将恶意脚本原样反射回浏览器。由于浏览器无法区分响应中的合法脚本与注入的恶意脚本，导致代码在受害者上下文中执行。攻击者可借此窃取敏感信息、执行未授权操作，并结合S:C（范围改变）特性影响同一浏览器环境下的其他会话。

攻击链分析

STEP 1

侦察

攻击者识别出目标站点正在使用SourceCodester Sales and Inventory System 1.0，并确认view_customers.php页面存在可访问的limit参数。

STEP 2

构造载荷

攻击者构建包含恶意JavaScript代码的URL，将XSS payload注入到limit参数中。

STEP 3

投递诱饵

攻击者通过电子邮件或社交媒体将恶意链接发送给目标用户，诱导其点击。

STEP 4

执行利用

受害者点击链接，服务器反射恶意脚本，受害者浏览器解析并执行该脚本，导致敏感数据泄露。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# PoC for CVE-2026-30566
import requests

target_url = "http://target.com/view_customers.php"
payload = "?limit=5<script>alert('CVE-2026-30566')</script>"

print(f"Testing URL: {target_url}{payload}")
# If the response contains the script tag unencoded, the vulnerability is confirmed.
response = requests.get(target_url + payload)
if "<script>alert('CVE-2026-30566')</script>" in response.text:
    print("Vulnerability confirmed!")

影响范围

SourceCodester Sales and Inventory System 1.0

防御指南

临时缓解措施

建议开发者在代码层面使用PHP的htmlspecialchars()函数对输出进行转义；临时缓解措施可包括限制对该页面的外部访问或加强用户安全意识教育，不点击不明链接。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表