IPBUF安全漏洞报告
English
CVE-2026-31352 CVSS 5.4 中危

CVE-2026-31352: Feehi CMS存储型XSS漏洞

披露日期: 2026-04-06
来源: [email protected]

漏洞信息

漏洞编号
CVE-2026-31352
漏洞类型
存储型跨站脚本 (Stored XSS)
CVSS评分
5.4 中危
攻击向量
网络 (AV:N)
认证要求
低权限 (PR:L)
用户交互
需要交互 (UI:R)
影响产品
Feehi CMS

相关标签

存储型XSSFeehi CMSWeb安全CWE-79权限绕过

漏洞概述

Feehi CMS v2.1.1版本的角色管理模块中存在一个经过身份验证的存储型跨站脚本(XSS)漏洞。由于系统未对“角色名称”参数进行充分的输入过滤,攻击者可注入恶意脚本。当管理员查看角色列表时,脚本将在浏览器中执行,可能导致数据窃取。

技术细节

该漏洞源于Feehi CMS v2.1.1在处理角色管理功能时,对用户提交的“角色名称”数据缺乏有效的输出编码。攻击者需具备低权限账户(PR:L),通过角色创建或编辑接口提交包含JavaScript代码的Payload(如<img src=x onerror=alert(1)>)。服务器将此Payload持久化存储至数据库中。当具有更高权限的用户(如管理员)访问受影响的页面时,服务器直接读取并渲染未经过滤的数据,导致受害者的浏览器解析并执行恶意代码。由于CVSS作用域为S:C,该攻击可突破同源策略限制,影响其他用户会话。

攻击链分析

STEP 1
步骤1:获取权限
攻击者注册或获取一个低权限账户,并成功登录Feehi CMS后台。
STEP 2
步骤2:注入Payload
攻击者访问角色管理模块,在创建或编辑角色的“角色名称”字段中输入恶意XSS代码。
STEP 3
步骤3:持久化存储
服务器接收请求并将包含恶意代码的数据保存到数据库中,未进行清洗。
STEP 4
步骤4:触发漏洞
管理员或用户访问角色列表页面,恶意脚本被渲染并执行,攻击者获取敏感信息。

PoC / 利用代码

⚠️ 仅供安全研究
以下代码仅用于安全研究和授权测试,未经授权使用属于违法行为。
PoC
// PoC for CVE-2026-31352 // 1. Login to Feehi CMS admin panel. // 2. Navigate to Role Management -> Create Role. // 3. Inject the following payload into the 'Role Name' field: // Payload: <script>alert('CVE-2026-31352');</script> // Or using img tag to bypass basic filters: // <img src=x onerror=alert('XSS')> // 4. Submit the form. // 5. When an admin visits the Role List page, the alert will trigger. // HTTP Request Simulation: /* POST /admin/role/save HTTP/1.1 Host: target.com Cookie: SESSIONID=... Content-Type: application/x-www-form-urlencoded role_name=<img src=x onerror=alert(document.cookie)>&description=Test */

影响范围

Feehi CMS v2.1.1

防御指南

临时缓解措施
在未升级补丁前,建议管理员严格限制后台角色管理功能的访问权限,仅允许必要的管理员操作。同时,可在前端或WAF层增加对特殊字符(如<, >, ', ", onerror=, javascript:)的过滤与拦截机制,降低被攻击风险。

参考链接

法律声明

以上信息仅供安全研究和授权渗透测试使用。未经授权对他人系统进行测试属于违法行为。利用本报告内容进行非法活动者,后果自负。

快速导航: 前沿安全 最新收录域名列表 最新威胁情报列表 最新网站排名列表 最新工具资源列表 最新CVE漏洞列表