CVE-2026-40230Helpy是一款开源的客户支持平台。在Helpy 2.8.0版本的知识库文档渲染逻辑中发现了一个存储型跨站脚本漏洞。拥有管理员或代理编辑员权限的经过身份验证的攻击者,可以在知识库文档的“body”字段中注入并持久化存储任意的HTML代码或JavaScript脚本。由于系统未对输入内容进行充分的过滤和编码,当其他用户访问被篡改的知识库文档页面时,恶意脚本将在其浏览器环境中自动执行。此漏洞允许攻击者在受害者上下文中运行恶意代码,可能导致会话劫持、数据窃取或其他进一步的客户端攻击。
该漏洞源于Helpy开源客户支持系统在处理知识库文档渲染时的逻辑缺陷。具体而言,在版本2.8.0中,当用户通过富文本编辑器创建或修改知识库文档时,系统未能对“body”字段中提交的HTML内容实施足够的安全清洗机制。
攻击者必须首先拥有一个有效的账户,并具备管理员或代理编辑员权限。利用这一身份,攻击者可以在发布文档时,将恶意的JavaScript代码或带有事件处理器的HTML标签(如`<img onerror=...>`)嵌入到文档正文中。由于系统缺乏输出编码,这些恶意载荷被原样存储在数据库后端。
当受害者(如普通客服人员或系统管理员)访问该知识库页面时,服务器会提取存储的恶意内容并直接渲染到HTML响应中。受害者的浏览器解析到这些脚本后,会立即在当前用户的会话上下文中执行它们。利用这一点,攻击者可以窃取Session ID进而劫持账户,执行未授权操作,或者进行钓鱼攻击。由于攻击载荷持久化存储在服务器上,该漏洞属于典型的Stored XSS,具有攻击隐蔽性强、影响面广的特点。