CVE-2026-33400Wallos是一款开源的自托管个人订阅追踪器。在4.7.0版本之前,该系统在支付方式重命名端点中存在一个存储型跨站脚本(XSS)漏洞。由于系统未能正确过滤用户输入,任何经过身份验证的用户都可以注入恶意的JavaScript代码。当其他用户访问设置、订阅或统计页面时,这段恶意代码将被触发执行。由于wallos_login认证cookie缺少HttpOnly标志,攻击者可以利用该漏洞窃取用户的会话cookie,从而完全接管用户账户。该问题已在版本4.7.0中得到修复。
该漏洞属于存储型XSS,其根本原因在于应用程序在处理“支付方式重命名”功能时,未对用户提供的数据进行充分的净化或转义。攻击者首先需要登录Wallos账户,导航至支付方式管理界面,并在重命名输入框中植入特制的JavaScript payload。该 payload 被提交后,会直接存储在后端数据库中,未经过滤即返回给前端。当管理员或其他普通用户访问包含受污染数据的页面(如设置、订阅列表或统计页面)时,服务器会从数据库读取该恶意名称并渲染到HTML响应中。浏览器解析到标签后执行其中的代码。更为严重的是,Wallos系统为认证标识符wallos_login设置的Cookie缺少HttpOnly属性。这意味着,通过JavaScript的document.cookie API可以直接读取该敏感Cookie。攻击者构造的payload可以读取Cookie并将其发送到外部服务器,结合有效的Session ID,攻击者无需知道密码即可劫持用户会话,获得与受害者相同的权限。