CVE-2026-33739 CVSS 5.7 中危

CVE-2026-33739 FOG Project 存储型XSS漏洞

披露日期: 2026-03-27

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-33739

漏洞类型

存储型跨站脚本 (Stored XSS)

CVSS评分

5.7 中危

攻击向量

网络 (AV:N)

认证要求

高权限 (PR:H)

用户交互

需要交互 (UI:R)

影响产品

FOG Project

漏洞概述

FOG是一个免费的开源克隆/镜像/救援套件及库存管理系统。在1.5.10.1812版本之前，多个管理页面（包括主机、存储、组、镜像等）的列表表格存在存储型跨站脚本（XSS）漏洞。该漏洞源于记录创建或更新时服务器端参数清理不足，且列表表格缺乏HTML转义。攻击者可利用此漏洞在管理员查看列表时执行恶意脚本。

技术细节

该漏洞原理属于存储型XSS。在FOG系统中，当具有高权限的用户在Host、Storage、Group、Image等管理页面创建或更新记录时，由于服务器端未对输入参数进行充分的过滤和净化，攻击者可以将恶意的HTML/JavaScript代码注入到数据库中。当其他用户或管理员访问这些管理页面的列表表格时，应用程序在渲染数据时未进行HTML实体转义，导致浏览器直接解析并执行攻击者注入的恶意脚本。利用此漏洞，攻击者可能窃取管理员的Session ID、进行钓鱼攻击或执行未授权操作。

攻击链分析

STEP 1

1. 获取访问权限

攻击者需要获取FOG系统的高权限账户（PR:H），以便能够创建或修改记录。

STEP 2

2. 注入恶意Payload

攻击者在管理页面（如Host管理）的输入字段中插入存储型XSS Payload（例如<script>或<img onerror>标签），并保存。

STEP 3

3. 触发漏洞

当管理员或其他用户访问包含受感染记录的列表页面时，服务器返回未转义的数据。

STEP 4

4. 执行攻击

受害者的浏览器解析并执行恶意脚本，导致Cookie窃取或会话劫持。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

<!--
PoC for Stored XSS in FOG Project < 1.5.10.1812
Target: Host/Storage/Group/Image listing pages
-->

<script>
// Simple payload to test XSS vulnerability
var payload = '<img src=x onerror=alert(1)>';

// Simulate injecting the payload into a vulnerable field (e.g., Host Description)
// When an admin views the host list, the alert will trigger.
console.log('Injecting payload: ' + payload);
</script>

<!-- Example HTTP Request -->
/*
POST /fog/management/index.php?node=host&sub=add HTTP/1.1
Host: vulnerable-fog-server
Content-Type: application/x-www-form-urlencoded

host=NewHost&description=<img src=x onerror=alert(1)>&...
*/

影响范围

FOG Project < 1.5.10.1812

防御指南

临时缓解措施

如果无法立即升级补丁，建议在Web应用防火墙（WAF）中配置规则，拦截包含常见XSS特征字符（如<script>, javascript:, onerror=等）的请求。同时，严格限制管理后台的访问权限，仅允许可信IP或必要的管理员访问。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表