CVE-2026-4909 CVSS 2.4 低危

CVE-2026-4909: Exam Form Submission 存储型XSS漏洞

披露日期: 2026-03-27

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-4909

漏洞类型

跨站脚本 (XSS)

CVSS评分

2.4 低危

攻击向量

网络 (AV:N)

认证要求

高权限 (PR:H)

用户交互

需要交互 (UI:R)

影响产品

code-projects Exam Form Submission

漏洞概述

code-projects Exam Form Submission 1.0版本被发现存在安全漏洞，具体位于/admin/update_s7.php文件中。由于未对用户输入的'sname'参数进行充分的过滤和验证，导致存在跨站脚本（XSS）漏洞。攻击者可以利用此漏洞构造恶意请求，将任意脚本代码植入系统。尽管利用该漏洞需要高权限和用户交互，但攻击者可以远程发起攻击，且利用代码已公开，可能对系统的完整性造成影响。

技术细节

该漏洞技术原理在于应用程序未能正确处理通过HTTP请求传递至/admin/update_s7.php页面的'sname'参数。当具有高权限的用户（如管理员）提交包含特殊字符（如 <, >, ", '）的数据时，后端应用未进行HTML实体编码或正则匹配清洗，直接将其存储至数据库。当后续用户访问渲染该数据的页面时，浏览器会将恶意代码当作HTML/JS解析执行。攻击者可借此窃取管理员的Session ID、Cookie凭证，或进行钓鱼操作。由于CVSS评分显示需要高权限（PR:H），这通常限制了攻击面，主要针对已登录的内部用户或管理员，属于典型的存储型XSS场景。

攻击链分析

STEP 1

侦察与访问

攻击者确认目标使用code-projects Exam Form Submission 1.0，并获取具有高权限（如管理员）的账户凭证。

STEP 2

漏洞利用

攻击者向/admin/update_s7.php发送特制的HTTP请求，在'sname'参数中注入恶意JavaScript代码。

STEP 3

载荷存储

由于服务器未过滤，恶意脚本被存储在数据库中。

STEP 4

触发与执行

当管理员或其他用户访问包含该数据的页面时，恶意脚本在浏览器中执行，导致XSS攻击。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

// PoC for CVE-2026-4909
// Target: /admin/update_s7.php
// Vulnerable Parameter: sname

POST /admin/update_s7.php HTTP/1.1
Host: target.com
Content-Type: application/x-www-form-urlencoded

sname=<script>alert(1)</script>&id=[VALID_ID]

影响范围

code-projects Exam Form Submission 1.0

防御指南

临时缓解措施

在未修复漏洞前，建议限制对/admin/update_s7.php的访问权限，仅允许可信IP地址访问。同时，加强对管理员账户的安全意识培训，避免点击不明链接。对数据库中已提交的表单数据进行审查，清除可能存在的恶意脚本。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2026-4909
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2026-4909
3 Details https://www.cvedetails.com/cve/CVE-2026-4909/
4 VulDB https://vuldb.com/cve/CVE-2026-4909
5 Link https://code-projects.org/
6 Link https://github.com/Niuzzz123/CVE-Niuzzz/issues/1
7 Link https://vuldb.com/?ctiid.353660
8 Link https://vuldb.com/?id.353660
9 Link https://vuldb.com/?submit.777502

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表