CVE-2026-34890 CVSS 6.5 中危

CVE-2026-34890: MSTW League Manager DOM型XSS漏洞

披露日期: 2026-04-02

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-34890

漏洞类型

跨站脚本 (XSS)

CVSS评分

6.5 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

需要交互 (UI:R)

影响产品

MSTW League Manager

漏洞概述

MSTW League Manager 插件在处理网页生成时的输入验证存在缺陷，导致基于 DOM 的跨站脚本（XSS）漏洞。该问题影响了从 n/a 到 2.10 的所有版本。由于未能正确中和用户输入，攻击者可以构造特制链接，诱导低权限用户进行交互。一旦交互发生，恶意脚本将在受害者浏览器中执行，可能导致敏感数据窃取或会话劫持。

技术细节

该漏洞具体属于 DOM-Based XSS（基于 DOM 的跨站脚本攻击）。其技术原理在于客户端 JavaScript 代码在处理用户可控的数据源（例如 URL 查询参数、片段标识符或 POST 数据）时，未进行适当的上下文相关转义，直接将其传递给危险的接收器（如 innerHTML、outerHTML 或 document.write）。在 MSTW League Manager 插件 2.10 及以下版本中，特定功能模块的渲染逻辑存在此缺陷。攻击者可利用此漏洞构造包含恶意 JavaScript 代码的特制 URL。根据 CVSS 向量分析，攻击需要低权限（PR:L）且必须诱导用户进行交互（UI:R），例如点击链接或访问特定页面。一旦用户触发，恶意代码将在受害者的浏览器上下文中执行。由于作用域为 S:C（范围改变），该脚本可能影响同源下的其他页面，导致窃取 Session Cookie、钓鱼攻击或执行未授权的 API 请求。

攻击链分析

STEP 1

侦察

攻击者识别目标网站是否安装了 MSTW League Manager 插件且版本受影响（<= 2.10）。

STEP 2

构造攻击载荷

攻击者编写包含恶意 JavaScript 代码的 payload，并将其嵌入到特定的 URL 参数中，该参数会被直接传递给 DOM 接收器。

STEP 3

社会工程学投递

利用钓鱼邮件或即时通讯工具，将包含恶意 URL 的链接发送给拥有低权限账户的目标用户。

STEP 4

诱导交互与执行

诱导用户点击链接。用户浏览器请求页面，前端 JavaScript 解析 URL 参数并将未经过滤的数据写入 DOM，触发 payload 执行。

STEP 5

达成攻击目标

恶意代码在受害者浏览器中运行，窃取 Cookie、会话令牌或执行未授权操作。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

<!--
// PoC for DOM-Based XSS in MSTW League Manager
// The vulnerability allows executing arbitrary JavaScript via unsanitized input.

// Step 1: Identify the vulnerable parameter reflected in the DOM (e.g., 'team_id' or 'schedule_id').
// Step 2: Construct the payload.

Payload: "><img src=x onerror=alert('CVE-2026-34890_PoC')>

// Full URL Example:
// http://target-site.com/wp-admin/admin.php?page=mstw_lm_games&game_id="><img src=x onerror=alert(1)>

// When the victim loads the page, the script executes via the DOM sink.
-->

影响范围

MSTW League Manager <= 2.10

防御指南

临时缓解措施

在未升级插件前，建议暂时禁用 MSTW League Manager 插件的功能，或通过 Web 应用防火墙 (WAF) 配置规则，拦截针对该插件特定参数的恶意脚本输入。管理员应警惕可疑链接，并定期审查系统日志。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表