CVE-2026-32612CVE-2026-32612是Statamic CMS(一个基于Laravel和Git的内容管理系统)中存在的存储型跨站脚本(Stored XSS)漏洞。该漏洞影响6.6.2之前的所有版本,允许具有控制面板访问权限的低权限认证用户通过修改颜色模式偏好设置注入恶意JavaScript代码。由于该脚本存储在后端数据库中,当具有更高权限的管理员或用户通过账户模拟功能访问攻击者的账户时,恶意代码会在受害者浏览器中执行。攻击者可利用此漏洞窃取敏感会话信息、冒充高权限用户执行操作或进一步横向移动。CVSS评分5.4属于中危级别,攻击复杂度低但需要用户交互,且影响范围仅限于机密性和完整性的低级别影响。
漏洞根因在于Statamic CMS控制面板的颜色模式偏好设置功能对用户输入缺乏充分的输入验证和输出编码。攻击流程如下:1)低权限攻击者登录系统后访问控制面板设置页面;2)在颜色模式参数中注入恶意JavaScript代码(如<script>alert(document.cookie)</script>);3)系统将该恶意代码存储到数据库的用户偏好设置中;4)当高权限用户(如管理员)使用账户模拟功能查看或管理该攻击者账户时,后台程序从数据库读取并展示该偏好设置;5)由于缺少适当的输出编码,恶意脚本在受害者浏览器中执行。攻击者利用的是Laravel框架中Blade模板的自动HTML编码机制被绕过的场景,可能通过在特定HTML属性上下文或JavaScript上下文中注入代码。修复方案在6.6.2版本中通过增强输入验证和强制输出编码实现。