CVE-2026-32844XinLiangCoder php_api_doc 在commit 1ce5bbf之前的版本中存在反射型跨站脚本漏洞。该漏洞源于`list_method.php`文件未对GET请求中的`f`参数进行适当的安全过滤,直接将其输出到页面中。远程攻击者可利用此漏洞诱导受害者点击恶意链接,从而在受害者浏览器中执行任意JavaScript代码,进而窃取会话凭证或进行恶意操作。
该漏洞属于典型的反射型跨站脚本攻击(Reflected XSS)。漏洞触发点位于应用程序的`list_method.php`页面处理逻辑中。当服务器接收到HTTP GET请求时,会提取参数`f`的值,并在未进行任何上下文相关的转义或过滤操作的情况下,将其直接嵌入到响应的HTML源码中返回给客户端。由于应用程序未对用户输入实施严格的输入验证或输出编码,攻击者可以构造包含恶意JavaScript代码的URL(例如:`?f=<script>alert(document.cookie)</script>`)。当受害者被诱导访问此URL时,恶意脚本会被浏览器解析并在当前应用上下文中执行。根据CVSS 3.1向量(CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N),该漏洞攻击复杂度低,无需认证,且具有范围改变(S:C)特性,意味着攻击可能波及应用以外的其他区域,造成低程度的机密性和完整性破坏。攻击者利用这一点,可以在受害者的浏览器中执行任意脚本,进而窃取Session ID、进行钓鱼操作或重定向到恶意网站。