CVE-2026-38947 CVSS 6.1 中危

CVE-2026-38947 FluentCMS插件XSS漏洞

披露日期: 2026-05-05

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-38947

漏洞类型

跨站脚本攻击 (XSS)

CVSS评分

6.1 中危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

需要交互 (UI:R)

影响产品

FluentCMS

漏洞概述

FluentCMS 1.2.3版本的TextHTML插件中存在跨站脚本（XSS）漏洞。由于该插件对用户输入的过滤机制不完善，未经身份验证的攻击者可以注入恶意脚本代码。当受害者访问包含恶意脚本的页面时，代码将在浏览器端执行。此漏洞可导致窃取用户敏感信息（如Cookie）、会话劫持或进行恶意重定向，对系统的机密性和完整性构成威胁。

技术细节

该漏洞源于FluentCMS 1.2.3版本中TextHTML插件对用户输入内容的安全校验不足。在处理富文本数据时，插件未能有效识别并过滤危险的HTML标签及JavaScript事件属性（如`onmouseover`、`onerror`等）。攻击者无需经过身份认证（PR:N），即可向系统提交包含恶意脚本的特制数据。例如，攻击者可以构造一段看似正常的HTML代码，其中嵌入了`<script>`标签或带有事件处理器的`<img>`标签。当系统将此数据存储并在前端渲染时，浏览器会将其解析为可执行代码。由于CVSS向量中包含S:C（范围改变），表明该漏洞具有跨域攻击的潜力，可能影响同一浏览器下的其他站点。攻击者利用此机制，可在受害者浏览器上下文中执行任意JavaScript代码，从而窃取Session ID、修改页面内容或进行钓鱼攻击。这种利用方式依赖于用户交互（UI:R），通常通过社会工程学诱导受害者访问特定URL触发。

攻击链分析

STEP 1

侦察

攻击者发现目标站点使用FluentCMS 1.2.3，并确认TextHTML插件已启用。

STEP 2

构造Payload

攻击者编写包含恶意JavaScript的HTML代码，例如<img src=x onerror=alert(1)>。

STEP 3

注入Payload

攻击者通过TextHTML插件的功能点（如评论、文章编辑等）将恶意代码提交并存储到服务器。

STEP 4

诱导访问

攻击者诱导管理员或普通用户访问包含该恶意内容的页面（UI:R）。

STEP 5

执行攻击

受害者浏览器解析页面时执行恶意脚本，导致Cookie泄露或会话被劫持。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

<!-- Proof of Concept for CVE-2026-38947 -->
<!-- Inject this payload into the TextHTML plugin input field -->
<img src=x onerror=alert('CVE-2026-38947_Exploited')>

<!-- Alternatively, a script tag -->
<script>
  console.log('XSS Triggered');
  alert(document.cookie);
</script>

影响范围

FluentCMS 1.2.3

防御指南

临时缓解措施

在官方发布修复补丁之前，建议暂时禁用TextHTML插件。如果必须使用，应严格限制该插件的访问权限（仅允许受信任的管理员使用），并对所有输出内容进行HTML实体编码处理。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2026-38947
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2026-38947
3 Details https://www.cvedetails.com/cve/CVE-2026-38947/
4 VulDB https://vuldb.com/cve/CVE-2026-38947
5 Link https://github.com/fluentcms/FluentCMS/issues/2405
6 Link https://github.com/fluentcms/FluentCMS/issues/2405

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表