CVE-2026-31205Pluck CMS在v.4.7.21dev之前的版本中存在跨站脚本(XSS)漏洞。该漏洞源于`editpage.php`页面和`sanitizePageContent`函数未能正确处理用户输入,导致过滤机制失效。远程攻击者在拥有一定权限的情况下,可以通过编辑页面内容并注入恶意脚本代码来利用此漏洞。由于这是存储型XSS,恶意脚本会被持久化存储在服务器端。当管理员或其他具有高权限的用户访问受感染的页面时,恶意脚本将在其浏览器上下文中执行,从而导致攻击者能够劫持会话并提升权限,对系统安全构成严重威胁。
该漏洞的核心在于Pluck CMS的内容过滤机制存在缺陷。在`editpage.php`处理页面保存逻辑时,调用了`sanitizePageContent`函数试图清理用户输入。然而,该函数未能覆盖所有的XSS攻击向量,可能存在过滤规则不完整或黑名单机制被绕过的情况。攻击者通过构造特定的HTML标签(如`<img>`, `<svg>`等)或JavaScript事件处理器(如`onerror`, `onload`),可以将恶意代码嵌入页面内容中。由于攻击需要高权限用户(PR:H)进行交互,攻击者通常先获取低权限账户,注入XSS Payload。一旦管理员访问该页面查看内容,Payload将触发。此时,攻击者可以利用管理员身份执行任意操作,例如创建新的管理员账户,从而实现权限提升。