CVE-2026-31281 CVSS 8.0 高危

CVE-2026-31281 Totara LMS HTML注入漏洞

披露日期: 2026-04-13

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-31281

漏洞类型

HTML注入

CVSS评分

8.0 高危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

需要交互 (UI:R)

影响产品

Totara LMS

漏洞概述

Totara LMS v19.1.5及之前版本存在HTML注入漏洞。攻击者可在应用内消息中注入恶意HTML代码并发送给所有用户。尽管供应商声称使用了DOMPurify进行清理且限制了标签，但该漏洞可能导致代码在受害者浏览器中执行，进而引发会话劫持等安全风险。

技术细节

该漏洞源于Totara LMS应用内消息客户端的输入过滤机制不完善。攻击者利用低权限账户发送消息，构造包含恶意HTML标签或属性的载荷。虽然供应商指出系统通过DOMPurify库过滤了<script>、<iframe>等高危标签以及onerror等事件属性，只允许加粗、斜体等基础富文本标签，但漏洞披露者认为仍存在绕过方式注入HTML。一旦恶意消息被存储并在其他用户查看时渲染，若过滤规则存在缺陷，攻击者即可在受害者浏览器上下文中执行恶意JavaScript代码。利用方式通常涉及构造特殊的HTML payload，绕过白名单或清理逻辑，从而实现窃取Cookie或会话令牌（Session Hijacking）以及在受害者浏览器中执行任意命令。

攻击链分析

STEP 1

1. 信息收集

攻击者识别目标Totara LMS系统并获取有效的低权限账户。

STEP 2

2. 载荷构造

攻击者构造包含恶意HTML标签的载荷，尝试绕过DOMPurify的过滤机制。

STEP 3

3. 漏洞利用

攻击者通过应用内消息功能将包含恶意代码的消息发送给目标用户或全体用户。

STEP 4

4. 触发执行

受害者查看消息，浏览器解析渲染其中的HTML代码，若绕过成功则执行恶意脚本。

STEP 5

5. 攻击影响

恶意脚本在受害者浏览器中运行，可能导致Cookie窃取、会话劫持或进一步操作。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

<!-- PoC for HTML Injection in Totara LMS Message -->
<!-- Attacker sends this payload through the messaging client -->
<div>
  <p>Read this important message!</p>
  <!-- Attempting to inject malicious elements (Hypothetical bypass) -->
  <img src=x onerror=alert('XSS')>
  <a href="javascript:alert('XSS')">Click here</a>
</div>

影响范围

Totara LMS <= 19.1.5

防御指南

临时缓解措施

建议用户在未修复前谨慎对待来源不明的内部消息，管理员可考虑临时禁用富文本消息功能或加强对HTML标签的白名单过滤。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2026-31281
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2026-31281
3 Details https://www.cvedetails.com/cve/CVE-2026-31281/
4 VulDB https://vuldb.com/cve/CVE-2026-31281
5 Link https://github.com/saykino/CVE-2026-31281
6 Link https://www.totara.com/

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表