CVE-2026-31354Feehi CMS v2.1.1版本中的权限模块存在严重的存储型跨站脚本(XSS)漏洞。经过身份认证的攻击者可以通过“Group”、“Category”或“Description”参数注入恶意脚本代码,这些代码会被存储在服务器端。当其他用户查看相关页面时,恶意脚本将在其浏览器中执行,可能导致账户劫持或敏感信息泄露。
该漏洞源于Feehi CMS v2.1.1在权限管理模块中对用户输入缺乏有效的安全校验机制。具体而言,应用程序在处理“Group”(组名)、“Category”(分类)和“Description”(描述)字段时,直接将未经HTML实体编码的用户数据存储于数据库中。由于漏洞利用需要低权限用户身份(PR:L),攻击者首先需登录系统。随后,通过构造特定的恶意Payload(如JavaScript代码)并提交至受影响接口,系统将恶意内容持久化。当具备管理权限的用户访问该权限列表页面时,嵌入的脚本将在浏览器上下文中触发执行。鉴于CVSS向量为S:C,攻击者可能利用此漏洞突破同源策略限制,进而窃取管理员Session ID、执行未授权操作或进行内网探测,造成严重的完整性破坏。