IPBUF安全漏洞报告
English
CVE-2026-33510 CVSS 8.8 高危

CVE-2026-33510 Homarr DOM型跨站脚本漏洞

披露日期: 2026-04-06
来源: [email protected]

漏洞信息

漏洞编号
CVE-2026-33510
漏洞类型
DOM型跨站脚本攻击 (XSS)
CVSS评分
8.8 高危
攻击向量
网络 (AV:N)
认证要求
无需认证 (PR:N)
用户交互
需要交互 (UI:R)
影响产品
Homarr

相关标签

XSSDOM XSSHomarrCVE-2026-33510Client-side RedirectWeb Security

漏洞概述

Homarr是一个开源仪表板程序。在1.57.0版本之前,其/auth/login页面存在DOM型跨站脚本(XSS)漏洞。该漏洞源于应用程序不当信任URL参数callbackUrl,并将其直接传递给redirect和router.push函数。攻击者可以精心构造恶意链接,诱导已认证用户点击。一旦用户访问,将触发客户端重定向并在浏览器上下文中执行任意JavaScript代码。此漏洞可能导致凭证窃取、内网横向移动以及代表受害者执行未授权操作。

技术细节

该漏洞属于典型的DOM型XSS,根本原因在于Homarr前端对重定向参数的处理缺乏严格的输入校验和上下文输出编码。具体来说,系统从URL查询字符串中获取callbackUrl参数,并未对其进行安全清洗(例如检查协议或进行URL编码),直接将其作为参数传递给前端路由器的push方法或重定向函数。由于浏览器会将javascript:或data:等伪协议识别为可执行代码,攻击者可利用此特性注入恶意脚本。当受害者访问包含payload的链接时,应用程序会解析该参数并尝试执行跳转,从而导致恶意JS代码在当前用户的会话上下文中运行。这允许攻击者绕过传统的服务器端防御,直接在客户端攻击。

攻击链分析

STEP 1
侦察
攻击者识别出目标正在使用Homarr仪表板,且版本低于1.57.0。
STEP 2
武器化
攻击者构造包含恶意JavaScript代码的URL,利用callbackUrl参数传递payload(如javascript:alert(1))。
STEP 3
交付
攻击者通过网络钓鱼、邮件或其他社会工程学手段,将恶意链接发送给目标组织的已认证用户。
STEP 4
利用
受害者点击链接,浏览器请求Homarr的登录页面,前端脚本解析callbackUrl并执行其中的恶意代码。
STEP 5
达成目标
恶意代码执行,攻击者窃取受害者的Session Cookie或利用其权限进行内部网络操作。

PoC / 利用代码

⚠️ 仅供安全研究
以下代码仅用于安全研究和授权测试,未经授权使用属于违法行为。
PoC
// Proof of Concept for CVE-2026-33510 // Target: Homarr < 1.57.0 // Description: Injecting JavaScript via the callbackUrl parameter // Step 1: Craft the malicious URL // The application takes the 'callbackUrl' and passes it to router.push() // Using the 'javascript:' protocol allows arbitrary code execution. const maliciousUrl = "https://target-homarr-domain/auth/login?callbackUrl=javascript:alert(document.cookie)"; // Alternatively, testing for data URI execution: // const maliciousUrl = "https://target-homarr-domain/auth/login?callbackUrl=data:text/html,<script>alert('XSS')</script>"; console.log("Visit this URL to trigger the vulnerability:", maliciousUrl); // Expected Result: // When an authenticated user clicks the link, the browser executes alert(document.cookie) // demonstrating the ability to execute arbitrary JS in the context of the application.

影响范围

Homarr < 1.57.0

防御指南

临时缓解措施
在完成版本升级前,建议管理员部署Web应用防火墙(WAF)规则,检测并拦截包含javascript:、data:等伪协议的callbackUrl参数请求。同时,加强对终端用户的安全教育,不要轻易点击来源不明的登录链接。

参考链接

法律声明

以上信息仅供安全研究和授权渗透测试使用。未经授权对他人系统进行测试属于违法行为。利用本报告内容进行非法活动者,后果自负。

快速导航: 前沿安全 最新收录域名列表 最新威胁情报列表 最新网站排名列表 最新工具资源列表 最新CVE漏洞列表