CVE-2026-33080该漏洞存在于Filament框架的表格汇总功能中。Filament是一个用于Laravel的全栈组件库。受影响的版本(4.0.0至4.8.4和5.0.0至5.3.4)中的Range和Values汇总器在渲染数据库原始值时未对HTML进行转义。如果使用这些汇总器的列数据缺乏验证,攻击者可以注入恶意HTML或JavaScript代码。当其他用户查看包含这些受影响汇总器的表格时,恶意代码将在其浏览器中执行,导致存储型跨站脚本攻击。该问题已在4.8.5和5.3.5版本中修复。
该漏洞的根本原因在于Filament的Table组件中的两个特定汇总器(Summarizers):Range和Values。这些组件在从数据库获取并显示汇总数据时,直接渲染了未经HTML转义的原始值。在Web开发中,直接渲染用户可控的数据库内容而不进行上下文相关的输出编码是典型的安全缺陷。由于Filament允许开发者在表格列中使用这些汇总器来展示数据统计,如果开发者未对输入列的数据进行严格的验证和清理(例如允许用户输入包含HTML标签的文本),攻击者便可以将恶意的HTML标签(如<script>、<img onerror=...>等)存入数据库。当具有低权限的攻击者提交恶意数据后,任何拥有查看该表格权限的用户(包括管理员)在访问该页面时,浏览器都会解析并执行这些恶意脚本。由于CVSS向量显示为PR:L(低权限)和UI:R(需要交互),攻击者通常需要诱骗用户查看受影响的页面,或者利用自动化浏览行为来触发攻击,从而窃取会话令牌、篡改页面内容或执行进一步的操作。