CVE-2026-31313 CVSS 5.4 中危

CVE-2026-31313: Feehi CMS存储型XSS漏洞

披露日期: 2026-04-06

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-31313

漏洞类型

存储型XSS

CVSS评分

5.4 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

需要交互 (UI:R)

影响产品

Feehi CMS

漏洞概述

Feehi CMS v2.1.1 存在存储型跨站脚本（XSS）漏洞。该漏洞位于内容创建/编辑模块，由于缺乏充分的输入过滤，经过身份认证的攻击者可以向内容字段注入恶意载荷。一旦受害者访问受影响页面，恶意脚本即会在浏览器端执行，导致会话劫持或数据窃取。

技术细节

该漏洞原理在于应用程序对持久化数据的输出编码缺失。Feehi CMS v2.1.1 在处理内容创建与编辑模块时，未对用户输入的“Content”字段执行严格的HTML标签清洗或转义机制。攻击者利用已认证的低权限账户，在该字段注入精心构造的JavaScript恶意载荷。此载荷被系统持久化存储于数据库中。当管理员或其他用户后续访问该受污染的页面时，服务器端应用直接将恶意数据渲染至HTML响应中，导致受害者的浏览器解析并执行该脚本，从而引发会话劫持、恶意重定向或敏感信息泄露等安全风险。

攻击链分析

STEP 1

步骤1

攻击者探测目标网站，确认为Feehi CMS系统，并获取有效的低权限用户账户。

STEP 2

步骤2

攻击者登录后台系统，进入内容创建或编辑模块。

STEP 3

步骤3

攻击者在Content字段中注入恶意JavaScript代码（如XSS Payload）并提交保存。

STEP 4

步骤4

系统将恶意载荷存储在数据库中，未进行过滤。

STEP 5

步骤5

当管理员或其他用户浏览该特定内容页面时，恶意脚本在浏览器中执行，完成攻击。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

// Stored XSS Payload for Content field
<script>alert('XSS');</script>

// Alternative HTML tag based payload
<img src=x onerror=alert(document.cookie)>

影响范围

Feehi CMS v2.1.1

防御指南

临时缓解措施

建议立即升级到官方发布的修复版本。如果暂时无法升级，应在Web应用防火墙（WAF）中配置规则，过滤常见的XSS攻击特征；或者开发人员临时修改模板代码，确保在输出Content字段内容时进行HTML实体转义（如将<转换为<）。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2026-31313
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2026-31313
3 Details https://www.cvedetails.com/cve/CVE-2026-31313/
4 VulDB https://vuldb.com/cve/CVE-2026-31313
5 Link http://feehi.com
6 Link https://github.com/liufee/cms/issues/80
7 Link https://github.com/liufee/cms/issues/80

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表