CVE-2026-41575 th30d4y/IP存在DOM型XSS漏洞

漏洞信息

漏洞编号

CVE-2026-41575

漏洞类型

DOM型跨站脚本 (XSS)

CVSS评分

6.1 中危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

需要交互 (UI:R)

影响产品

th30d4y/IP

漏洞概述

th30d4y/IP应用（1.0.1至2.0.1之前版本）存在DOM型跨站脚本（XSS）漏洞。该漏洞源于IP信誉检查器应用程序未对用户输入进行有效的清理和过滤，直接将其渲染在浏览器DOM环境中。攻击者可诱导受害者访问恶意链接，从而在受害者浏览器中执行任意JavaScript代码，进而窃取Cookie、会话令牌等敏感信息。建议用户尽快升级至2.0.1或更高版本以消除风险。

技术细节

该漏洞属于DOM型跨站脚本（XSS）漏洞。与存储型或反射型XSS不同，DOM XSS的攻击载荷完全在客户端处理，不涉及服务器端的响应。在th30d4y/IP应用中，问题出在前端JavaScript代码直接读取了URL参数或输入框中的数据（如IP地址），并将其通过innerHTML、document.write或类似的不安全API插入到页面DOM结构中，且未进行HTML实体编码或过滤。由于CVSS向量为AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N，攻击者无需认证即可发起攻击，但需要一定的用户交互（如点击链接）。攻击者可构造包含恶意JavaScript代码的特制URL（例如：?ip=<script>alert(1)</script>）。当受害者访问该URL时，恶意代码被浏览器解析执行。虽然影响范围仅限于当前用户上下文，但由于能执行任意脚本，可能导致窃取用户凭证、重定向至钓鱼网站或执行恶意操作。

攻击链分析

STEP 1

侦察与载荷制作

攻击者发现th30d4y/IP应用接受URL参数作为IP地址输入，并制作包含恶意脚本（如<img src=x onerror=alert(1)>）的特制URL。

STEP 2

社会工程学诱导

攻击者将包含恶意载荷的URL发送给目标受害者，诱导其点击链接。

STEP 3

受害者访问

受害者点击链接，浏览器请求加载th30d4y/IP应用页面，并将恶意参数传递给前端JavaScript。

STEP 4

DOM渲染与执行

应用的前端代码读取URL参数，通过不安全的API（如innerHTML）将其直接插入页面DOM，导致恶意JavaScript代码在受害者浏览器中解析并执行。

STEP 5

利用后果

攻击者利用执行权限窃取受害者的Session Cookie、Token或执行其他恶意操作，破坏数据的机密性和完整性。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

<!-- Proof of Concept for CVE-2026-41575 -->
<!-- The application takes an IP address from the URL and renders it via innerHTML -->

<!-- Malicious URL Example -->
<!-- https://target-site/checker?ip=<img src=x onerror=alert('XSS')> -->

<script>
    // Simulating the vulnerable behavior in th30d4y/IP
    function checkIP() {
        // Get user input from URL parameter
        const urlParams = new URLSearchParams(window.location.search);
        let ip = urlParams.get('ip');

        if (ip) {
            // VULNERABLE CODE: Unsanitized input directly inserted into DOM
            document.getElementById('ip-display').innerHTML = "Scanning IP: " + ip;
        } else {
            document.getElementById('ip-display').innerText = "No IP provided";
        }
    }

    // Execute the function to demonstrate the vulnerability
    checkIP();
</script>

影响范围

th30d4y/IP >= 1.0.1, < 2.0.1

防御指南

临时缓解措施

如果无法立即升级，建议在客户端JavaScript代码中启用严格的输入验证和输出编码。避免使用innerHTML、document.write等API直接渲染用户可控的输入，改用innerText或textContent。此外，实施内容安全策略（CSP）以限制脚本执行来源，可作为辅助防御手段。