CVE-2026-4510PbootCMS是一款广受欢迎的轻量级企业内容管理系统。在PbootCMS 3.2.12及之前版本中,发现了一个跨站脚本(XSS)漏洞。该漏洞源于组件参数处理程序中的alert_location函数未能正确处理backurl参数。攻击者无需经过身份认证,通过构造恶意参数即可利用此漏洞。由于攻击复杂度低且利用代码已公开,攻击者可诱导用户点击特定链接,从而执行恶意脚本,窃取用户凭据或进行恶意操作。该漏洞对系统安全性构成中等威胁。
CVE-2026-4510漏洞的核心在于PbootCMS对输入参数过滤机制的缺失。具体受影响的是apps/home/controller/MemberController.php文件中的alert_location函数。当该函数处理backurl参数时,直接将其用于页面重定向或输出,未进行严格的URL格式校验和HTML实体编码。攻击者可以利用这一逻辑缺陷,在backurl参数中注入javascript:伪协议或闭合标签注入<script>代码。根据CVSS向量(AV:N/PR:N/UI:R),这是一个网络可访问、无需认证但需要用户交互的反射型XSS漏洞。攻击流程通常是攻击者构建带有恶意Payload的URL,通过社会工程学手段诱导受害者访问。一旦受害者点击,浏览器会解析并执行其中的JavaScript代码。此时,攻击者可以获取受害者的Session Cookie、浏览历史,甚至利用受害者的身份执行未授权操作,进而威胁账户安全。