CVE-2026-38669 CVSS 6.1 中危

CVE-2026-38669 wCMS跨站脚本漏洞

披露日期: 2026-05-04

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-38669

漏洞类型

XSS

CVSS评分

6.1 中危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

需要交互 (UI:R)

影响产品

wCMS

漏洞概述

wCMS v1.4版本存在跨站脚本脚本（XSS）漏洞。该漏洞出现在创建新博客的功能中。由于系统未对用户输入进行充分的过滤和转义，攻击者可以在博客内容中注入恶意脚本。当其他用户查看被污染的博客页面时，恶意脚本将在其浏览器中执行，可能导致窃取Cookie或会话劫持等风险。

技术细节

该漏洞源于wCMS在处理用户提交的博客内容时，缺乏对特定字符（如<, >, ', "等）的有效过滤机制。攻击者无需认证即可利用此漏洞（PR:N），但需要诱导用户点击链接或访问页面（UI:R）。攻击者可以在创建新博客的请求参数中注入JavaScript代码。当服务器接收并存储该数据后，未经过滤直接渲染到前端页面。一旦受害用户访问该博客文章，嵌入的恶意脚本就会在受害者的浏览器上下文中运行。由于作用域为S:C（Scope Changed），该脚本可能影响同一域下的其他会话，从而造成低级别的机密性和完整性影响。

攻击链分析

STEP 1

1. 信息收集

攻击者识别目标网站正在使用wCMS v1.4版本。

STEP 2

2. 漏洞利用

攻击者无需登录，访问博客创建页面，并在内容输入框中注入恶意JavaScript代码（例如：<script>alert(1)</script>），然后提交。

STEP 3

3. 诱导访问

攻击者诱导管理员或普通用户访问包含恶意代码的博客文章链接。

STEP 4

4. 代码执行

受害者的浏览器在渲染博客内容时，执行了注入的恶意脚本，可能导致Cookie窃取或恶意操作。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

<!-- PoC for Stored XSS in wCMS v1.4 -->
<!-- Inject this payload into the 'Blog Content' field when creating a new blog -->
<script>
  alert('CVE-2026-38669 XSS Triggered');
</script>

<!-- Alternative payload using image tag -->
<img src=x onerror=alert('CVE-2026-38669 XSS')>

影响范围

wCMS v1.4

防御指南

临时缓解措施

管理员应暂时禁用博客创建功能，或在服务器端部署WAF规则以拦截包含常见XSS特征（如<script>标签、javascript:协议等）的请求，直到官方补丁发布。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表