CVE-2026-42509Apache Wicket框架存在跨站脚本(XSS)漏洞,该漏洞由于Web页面生成过程中对输入的净化处理不当所致。攻击者可利用此缺陷,诱导受害者访问特制的恶意链接,从而在受害者的浏览器上下文中执行任意JavaScript代码。此漏洞影响范围较广,涵盖了8.x、9.x及10.x等多个版本分支。成功利用该漏洞可能导致敏感数据泄露(如Cookie、Session信息)或客户端劫持,对用户隐私和系统安全性构成威胁。建议管理员立即排查版本并升级。
该漏洞属于跨站脚本攻击(XSS),其根本原因在于Apache Wicket框架在渲染Web页面时,未能对特定上下文中的用户输入进行充分的HTML实体编码或过滤。根据CVSS v3.1向量(AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N),该漏洞通过网络攻击向量发起,利用复杂度低,攻击者无需认证即可尝试利用,但需要一定程度的用户交互(如点击链接)。具体而言,当应用程序将未经过滤的用户请求参数直接嵌入到Wicket组件的响应中,且未启用自动转义机制时,攻击者可以注入恶意的HTML标签及JavaScript脚本。由于CVSS中的范围变更(Scope Changed,S:C),攻击者利用该漏洞可能绕过浏览器的同源策略限制。利用此漏洞,攻击者可以窃取用户的会话凭证、进行钓鱼攻击、篡改页面内容,甚至利用受害者的身份执行未授权的操作。