CVE-2026-30578File Thinghie 2.5.7版本存在跨站脚本攻击(XSS)漏洞。由于未对GET请求中的“dir”参数进行严格过滤,攻击者可注入恶意JavaScript代码。诱导低权限用户访问恶意链接后,脚本将在浏览器端执行,从而窃取Cookie或进行会话劫持。
该漏洞属于反射型跨站脚本漏洞(XSS)。漏洞成因是File Thinghie在处理文件目录浏览请求时,未对GET参数“dir”进行有效的输入验证和HTML实体编码。攻击者可以构造包含恶意JavaScript代码的URL,例如在dir参数中插入`<script>alert(1)</script>`。根据CVSS向量,攻击需要低权限(PR:L)及用户交互(UI:R),这意味着攻击者需诱导已登录用户访问恶意链接。一旦受害者访问,恶意脚本将在其浏览器会话中执行。攻击者可利用此漏洞窃取Cookie、会话令牌,或通过DOM操作执行未授权操作,进而接管用户账户,对系统的机密性、完整性和可用性造成低至中度影响。