CVE-2026-38936 CVSS 6.1 中危

CVE-2026-38936 diskover-community反射型XSS漏洞

披露日期: 2026-04-27

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-38936

漏洞类型

跨站脚本 (XSS)

CVSS评分

6.1 中危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

需要交互 (UI:R)

影响产品

diskover-community

漏洞概述

diskover-community 2.3.5及以下版本存在反射型跨站脚本（XSS）漏洞。该漏洞源于public/selectindices.php页面未对namecontains参数进行严格的过滤和转义。攻击者可构造恶意链接诱导受害者点击，导致恶意脚本在受害者浏览器中执行，进而窃取用户凭证或进行会话劫持。

技术细节

该漏洞属于反射型XSS漏洞。在diskover-community的数据浏览功能中，`public/selectindices.php`文件接收用户通过GET请求提交的`namecontains`参数，并将其直接嵌入到HTTP响应的HTML页面中，未进行HTML实体编码。这允许攻击者注入任意JavaScript代码。由于CVSS向量显示需要用户交互（UI:R），攻击者必须通过社会工程学手段诱导受害者访问包含恶意载荷的URL。当受害者访问时，服务器会返回包含恶意脚本的页面，浏览器解析并执行该脚本。攻击者可利用此机制在受害者浏览器上下文中运行代码，窃取敏感信息（如Session ID）或执行未授权操作。

攻击链分析

STEP 1

侦察

识别目标系统是否运行diskover-community且版本小于等于2.3.5。

STEP 2

构造载荷

针对public/selectindices.php的namecontains参数，构造包含恶意JavaScript代码的URL。

STEP 3

诱导访问

通过钓鱼邮件或社会工程学手段，诱导拥有有效会话的受害者点击恶意链接。

STEP 4

执行攻击

受害者浏览器请求链接，服务器反射恶意脚本，浏览器解析执行，攻击者获取Cookie或执行操作。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# PoC for CVE-2026-38936
# Target: diskover-community <= 2.3.5
# Endpoint: /public/selectindices.php
# Parameter: namecontains

# Payload to test:
# <script>alert('XSS')</script>

# Example URL:
# http://[TARGET_IP]/public/selectindices.php?namecontains=<script>alert(document.cookie)</script>

# Python request example:
import requests

target_url = "http://localhost/public/selectindices.php"
payload = "<script>alert(document.cookie)</script>"
params = {"namecontains": payload}

response = requests.get(target_url, params=params)
if payload in response.text:
    print("Vulnerable to Reflected XSS")
else:
    print("Not vulnerable")

影响范围

diskover-community <= 2.3.5

防御指南

临时缓解措施

建议用户暂时避免点击来源不明的链接，管理员应在WAF层面对namecontains参数增加严格的过滤规则，阻断包含常见XSS标签（如<script>, <img>等）的流量，直到官方补丁安装完成。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表