CVE-2026-5254 CVSS 3.5 低危

CVE-2026-5254 welovemedia FFmate 跨站脚本漏洞

披露日期: 2026-04-01

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-5254

漏洞类型

跨站脚本 (XSS)

CVSS评分

3.5 低危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

需要交互 (UI:R)

影响产品

welovemedia FFmate

漏洞概述

welovemedia FFmate 2.0.15及之前版本存在跨站脚本漏洞。由于Webhook Handler组件的AppJsonTreeView.vue文件未正确过滤用户输入，攻击者可远程构造恶意数据。当低权限用户查看并交互时，将触发XSS攻击，可能导致数据篡改。

技术细节

该漏洞位于welovemedia FFmate的Webhook Handler组件中，具体涉及文件/ui/app/components/AppJsonTreeView.vue。漏洞成因是应用程序在渲染JSON树视图时，未对从Webhook接收到的特定字段进行适当的上下文感知编码。攻击者可以利用低权限账户，通过Webhook接口提交包含恶意JavaScript代码的Payload。由于CVSS向量为AV:N/AC:L/PR:L/UI:R/S:U，攻击无需复杂的访问条件，但需要用户交互（UI:R）。当受害者访问受影响的页面并加载该恶意JSON数据时，脚本将在浏览器端执行，导致完整性受损（I:L），虽然不影响机密性（C:N）和可用性（A:N），但仍可被用于钓鱼或篡改页面内容。

攻击链分析

STEP 1

1. 信息收集

识别目标使用welovemedia FFmate 2.0.15及以下版本。

STEP 2

2. 构造Payload

针对AppJsonTreeView.vue组件构造XSS Payload，如img标签onerror事件。

STEP 3

3. 提交Payload

攻击者利用低权限账号通过Webhook接口提交恶意数据。

STEP 4

4. 诱导访问

诱导或等待受害者（如管理员）访问包含该数据的JSON树视图页面。

STEP 5

5. 执行攻击

受害者浏览器渲染页面时触发脚本，执行未授权操作。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

// PoC for CVE-2026-5254
// Targeting the AppJsonTreeView.vue component in welovemedia FFmate

// Step 1: Send malicious payload via Webhook Handler
// The endpoint might vary, assuming a standard API structure
POST /api/webhook HTTP/1.1
Host: target.com
Content-Type: application/json

{
  "json_tree_data": "<img src=x onerror=alert(document.cookie)>",
  "handler_config": "malicious"
}

// Step 2: Trigger the vulnerability
// Navigate to /ui/app/components/AppJsonTreeView.vue
// The malicious script executes upon rendering the JSON tree.

影响范围

welovemedia FFmate <= 2.0.15

防御指南

临时缓解措施

由于供应商未响应，建议暂时禁用Webhook Handler功能，或限制对/ui/app/components/AppJsonTreeView.vue的访问权限，同时在网关处对JSON数据进行清洗。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2026-5254
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2026-5254
3 Details https://www.cvedetails.com/cve/CVE-2026-5254/
4 VulDB https://vuldb.com/cve/CVE-2026-5254
5 Link https://github.com/CC-T-454455/Vulnerabilities/tree/master/ffmate/vulnerability-2
6 Link https://vuldb.com/submit/780615
7 Link https://vuldb.com/vuln/354444
8 Link https://vuldb.com/vuln/354444/cti

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表