CVE-2026-35013CVE-2026-35013 是 Open ISES Tickets 软件中发现的一个安全漏洞。该产品在 3.44.2 之前的版本中,`street_view.php` 组件未能正确处理用户输入,导致存在反射型跨站脚本(XSS)漏洞。经过身份验证的攻击者可以通过 `thelat` 和 `thelng` GET 参数注入任意 JavaScript 代码。当受害者访问被篡改的恶意链接时,注入的脚本将在其浏览器环境中运行,可能导致信息泄露或权限提升。
该漏洞属于反射型跨站脚本攻击(Reflected XSS)。在 Open ISES Tickets 3.44.2 之前的版本中,`street_view.php` 文件存在输入验证缺失的安全缺陷。具体而言,应用程序直接从 HTTP GET 请求中获取 `thelat` 和 `thelng` 两个参数的值,并将其未经任何过滤或转义处理地嵌入到 JavaScript 代码的变量赋值语句中。由于浏览器无法区分这是合法的变量值还是可执行代码,当攻击者构造包含恶意 JavaScript 代码的 URL(例如:`street_view.php?thelat=1;alert(1)//`)并发送给受害者时,受害者的浏览器在解析响应页面时,会将攻击者插入的代码作为 JavaScript 执行。攻击者利用此漏洞可以窃取受害者的会话 Cookie、重定向到钓鱼网站或在受害者浏览器上下文中执行任意操作。该漏洞需要受害者进行交互(点击链接)且攻击者需要具备低权限账户才能触发。