CVE-2026-35014Open ISES Tickets 版本 3.44.2 之前的 routes_nm.php 组件中存在一个反射型跨站脚本(XSS)漏洞。该问题的根本原因在于应用未能对 ticket_id GET 参数进行适当的输入清理和输出编码,直接将其值嵌入到隐藏输入字段的 VALUE 属性中。拥有低权限的经过身份验证的攻击者可以构造包含恶意 JavaScript 载荷的特制 URL。当受害者访问该 URL 时,恶意代码将在其浏览器中执行,可能导致会话劫持或敏感信息泄露等风险。
该漏洞技术原理源于不安全的直接对象引用和缺乏输出编码。在 routes_nm.php 的实现逻辑中,程序直接通过 $_GET['ticket_id'] 读取用户输入,并将其渲染到 HTML 表单的隐藏域(<input type="hidden">)value 属性内。由于开发者未对该值执行 htmlspecialchars 等转义函数,攻击者可以注入双引号来闭合 value 属性,并插入任意 HTML 或 JavaScript 代码。例如,Payload 可构造为 ?ticket_id="><script>alert(document.cookie)</script><"。根据 CVSS 3.1 向量,此漏洞利用无需高权限,但需要用户交互(点击链接)。攻击流程通常涉及社会工程学,攻击者生成恶意链接发送给受害者。由于受害者处于已认证状态,注入的脚本将在该会话上下文中运行,能够读取或修改页面数据,甚至执行针对后端 API 的请求,造成数据泄露或完整性破坏。