CVE-2026-4848dameng100 muucmf 1.9.5.20260309 版本中存在一个安全漏洞,该漏洞源于 /admin/extend/list.html 文件对用户输入的处理不当。攻击者可以通过操纵 'Name' 参数发起跨站脚本攻击。由于该漏洞无需认证且可远程利用,攻击者可诱导受害者访问特制链接,从而在受害者浏览器中执行恶意JavaScript代码,窃取会话信息或进行恶意操作。
该漏洞属于反射型或存储型跨站脚本漏洞(根据CVSS向量UI:R推测),位于dameng100 muucmf的后台管理模块中。具体技术细节是,系统在处理 /admin/extend/list.html 页面请求时,未对 'Name' 参数进行严格的输入验证和输出编码。当应用程序将该参数值直接嵌入到HTML响应中返回给客户端时,浏览器会将攻击者注入的恶意脚本代码当作正常HTML解析并执行。攻击者可以利用这一缺陷,构造包含恶意载荷的URL或数据包。由于CVSS向量显示攻击复杂度为低(AC:L)且无需权限(PR:N),但需要用户交互(UI:R),攻击者通常需要通过钓鱼邮件等方式诱导管理员点击恶意链接,进而劫持管理员会话。