CVE-2026-42086OpenC3 COSMOS在7.0.0版本之前的Command Sender UI组件中存在安全漏洞。该组件在处理类似数组的命令参数时,错误地使用了不安全的eval()函数。这一缺陷允许用户提供的恶意载荷在发送命令时于浏览器端执行。尽管这主要表现为自身XSS风险,但如果攻击者通过钓鱼攻击诱导受害者输入特定的数组参数,即可在受害者的已认证会话中触发脚本执行。一旦攻击成功,攻击者可能读取或修改经过身份验证的浏览器上下文中的敏感数据,甚至窃取本地存储中的会话令牌,造成严重的安全隐患。
该漏洞的核心原理在于OpenC3 COSMOS的Command Sender UI未能正确净化用户输入。当用户发送命令时,系统会将包含命令参数的数组字符串直接传递给JavaScript的eval()函数进行解析和执行。由于eval()会将字符串动态转化为代码执行,攻击者可以构造特殊的JavaScript语法(如立即执行函数表达式)作为参数值。利用方式通常需要结合社会工程学攻击,因为漏洞需要用户交互(UI:R)且主要影响低权限用户。攻击者诱导受害者将恶意数组参数粘贴到命令发送界面并执行。此时,恶意脚本将在受害者的浏览器上下文中运行,获得对当前页面DOM、LocalStorage、SessionStorage及Cookie的访问权限,从而窃取身份凭证或篡改数据。