CVE-2026-4898 CVSS 4.3 中危

CVE-2026-4898: Online Food Ordering System 存储型XSS漏洞

披露日期: 2026-03-26

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-4898

漏洞类型

跨站脚本 (XSS)

CVSS评分

4.3 中危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

需要交互 (UI:R)

影响产品

code-projects Online Food Ordering System

漏洞概述

code-projects Online Food Ordering System 1.0版本存在跨站脚本漏洞。该漏洞源于/dbfood/contact.php文件未能正确过滤用户输入的Name参数，导致恶意脚本被存储。攻击者可诱导受害者访问页面以触发代码执行，进而窃取Cookie或进行会话劫持。目前利用代码已公开，风险中等。

技术细节

该漏洞属于存储型跨站脚本攻击（Stored XSS）。在受影响的应用程序中，/dbfood/contact.php接口负责接收用户的联系信息。由于系统未对传入的“Name”参数进行严格的输入验证和安全过滤，攻击者可以构造包含JavaScript恶意代码的Payload并通过POST请求提交。服务器接收数据后将其直接存入数据库，未进行HTML实体编码。当管理员或其他用户随后访问后台查看联系记录时，存储的恶意脚本会在浏览器环境中渲染并执行。根据CVSS 3.1向量，该攻击利用难度低，虽需用户交互查看页面，但会对系统完整性造成影响，常用于钓鱼或凭证窃取。

攻击链分析

STEP 1

侦察

攻击者识别目标系统运行的是code-projects Online Food Ordering System 1.0版本。

STEP 2

构造载荷

攻击者编写一段JavaScript恶意代码（如<script>alert(1)</script>）作为XSS Payload。

STEP 3

注入载荷

攻击者向/dbfood/contact.php发送POST请求，将Payload注入到Name参数中。

STEP 4

存储

服务器接收请求并将未经过滤的数据存储在数据库中。

STEP 5

触发执行

当管理员或用户查看联系记录页面时，恶意脚本从数据库加载并在浏览器中执行。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

<form action="http://target-ip/dbfood/contact.php" method="POST"> <input type="text" name="Name" value="<script>alert('CVE-2026-4898')</script>"> <input type="text" name="Email" value="[email protected]"> <input type="text" name="Message" value="Testing XSS vulnerability"> <input type="submit" value="Submit Request"> </form>

影响范围

code-projects Online Food Ordering System 1.0

防御指南

临时缓解措施

建议暂时禁用前台联系表单功能，或在Web应用防火墙（WAF）中添加规则，拦截包含<script>、javascript:等敏感字符的POST请求，以降低被攻击风险。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表