CVE-2026-42030MapServer是一个用于开发基于Web的GIS应用程序的系统。在6.0至8.6.2之前的版本中,其WMS服务器存在一个反射型跨站脚本(XSS)漏洞。未经身份验证的攻击者可以通过诱导用户打开特制的WMS URL,向受害者浏览器中注入任意HTML或JavaScript代码。该漏洞的触发条件是使用FORMAT=application/openlayers参数,并结合WMS 1.3.0请求中未经清理的SRS参数。该问题已在8.6.2版本中修复。
该漏洞位于MapServer的WMS(Web地图服务)实现中,具体原因是对输入参数的验证和过滤不足。当攻击者构造恶意的WMS 1.3.0请求时,如果请求中包含FORMAT=application/openlayers参数,MapServer会生成OpenLayers客户端代码。在这个过程中,如果SRS(空间参考系统)参数包含恶意的JavaScript或HTML代码,且该参数未经过适当的净化处理,服务器会将攻击者提供的输入直接反射到生成的响应页面中。攻击者首先需要构建一个特制的URL,在SRS参数中插入XSS payload。然后,攻击者将此URL发送给目标用户。当用户点击链接并请求该页面时,MapServer会解析请求,由于缺乏对SRS参数内容的转义,恶意脚本被嵌入到返回的HTML文档中。受害者的浏览器解析该HTML并执行脚本,从而导致攻击者能够窃取Cookie、会话令牌或执行其他客户端操作。