CVE-2026-5015elecV2P是一款功能强大的网络工具,其3.8.3及之前版本中的日志查看端点`/logs`存在严重的跨站脚本(XSS)漏洞。该漏洞源于对用户输入的`filename`参数缺乏严格的过滤机制。攻击者无需经过身份认证,即可构造包含恶意JavaScript代码的URL,诱导受害者点击访问。一旦受害者触发该请求,恶意脚本将在其浏览器上下文中执行,进而窃取敏感凭证或执行恶意操作。目前官方尚未发布补丁,风险依然存在。
该漏洞的根源在于elecV2P应用在处理日志相关请求时,未能安全地处理`filename`参数。具体而言,当攻击者向服务器发送带有恶意脚本的GET请求时,后端程序在尝试读取或列出日志文件时,直接将该参数值反射嵌入到HTTP响应的HTML页面中,且未进行HTML实体编码或过滤。由于CVSS向量显示无需用户权限(PR:N)但需要用户交互(UI:R),这符合反射型XSS的典型特征。攻击者利用此漏洞,可以精心构造恶意URL,通过社会工程学手段诱导受害者点击。一旦受害者访问该链接,恶意脚本将在其浏览器上下文中自动执行。这不仅可能导致用户的Session ID或Cookie被窃取,造成账户被劫持,还可能被用于篡改页面内容进行钓鱼攻击,严重威胁系统的完整性和用户数据的安全性。由于目前官方尚未修复,此漏洞具有较高的实际利用风险。