IPBUF安全漏洞报告
English
CVE-2026-5332 CVSS 3.5 低危

CVE-2026-5332 Xiaopi Panel存在XSS漏洞

披露日期: 2026-04-02
来源: [email protected]

漏洞信息

漏洞编号
CVE-2026-5332
漏洞类型
跨站脚本 (XSS)
CVSS评分
3.5 低危
攻击向量
网络 (AV:N)
认证要求
低权限 (PR:L)
用户交互
需要交互 (UI:R)
影响产品
Xiaopi Panel

相关标签

XSSXiaopi PanelWAFCVE-2026-5332Cross Site ScriptingReflected XSS

漏洞概述

Xiaopi Panel 1.0.0版本的WAF防火墙组件中存在跨站脚本(XSS)漏洞。该漏洞源于/demo.php文件未能正确过滤用户通过param参数提交的输入。攻击者可诱导受害者访问恶意链接,从而在浏览器中执行任意JavaScript代码。目前厂商尚未对此漏洞做出响应。

技术细节

该漏洞位于Xiaopi Panel 1.0.0版本的WAF Firewall组件中的/demo.php文件。其根本原因是应用程序未对`param`参数进行严格的输入校验和HTML实体编码,直接将其输出到响应页面中。攻击者可以构造包含恶意JavaScript代码的URL,当拥有低权限的用户被诱导访问该链接时,恶意代码将在其浏览器上下文中执行。由于CVSS向量包含UI:R(需要用户交互),这属于典型的反射型跨站脚本攻击。利用此漏洞,攻击者能够窃取用户的Session ID、执行未授权操作或进行钓鱼攻击。鉴于厂商尚未响应,且利用代码已公开,该风险目前持续存在。

攻击链分析

STEP 1
侦查
攻击者识别出目标正在使用Xiaopi Panel 1.0.0,并确认/demo.php接口可访问。
STEP 2
武器化
攻击者构造包含恶意JavaScript代码的URL,将payload注入到param参数中。
STEP 3
投递
通过钓鱼邮件或社会工程学手段,诱导拥有低权限的受害者点击该恶意链接。
STEP 4
利用
受害者浏览器请求/demo.php,服务器未过滤param参数,直接将恶意脚本返回给浏览器。
STEP 5
影响
受害者浏览器执行恶意脚本,可能导致Cookie窃取或会话劫持。

PoC / 利用代码

⚠️ 仅供安全研究
以下代码仅用于安全研究和授权测试,未经授权使用属于违法行为。
PoC
import requests # Target URL (Change to actual target) target_url = "http://target-ip/demo.php" # Malicious XSS payload xss_payload = "<script>alert('CVE-2026-5332_XSS_Test');</script>" # Inject payload into the vulnerable parameter params = { "param": xss_payload } try: # Send GET request response = requests.get(target_url, params=params, timeout=10) # Check if the payload is reflected unfiltered in the response if xss_payload in response.text: print("[+] Vulnerability confirmed! Payload reflected in response.") else: print("[-] Payload not reflected or filtered.") except Exception as e: print(f"Error connecting to target: {e}")

影响范围

Xiaopi Panel 1.0.0

防御指南

临时缓解措施
建议暂时禁用WAF防火墙组件中的/demo.php接口访问权限,或者在反向代理层面(如Nginx)过滤包含恶意脚本字符(如 <, >, script, alert等)的请求参数,直至官方发布安全补丁。

参考链接

法律声明

以上信息仅供安全研究和授权渗透测试使用。未经授权对他人系统进行测试属于违法行为。利用本报告内容进行非法活动者,后果自负。

快速导航: 前沿安全 最新收录域名列表 最新威胁情报列表 最新网站排名列表 最新工具资源列表 最新CVE漏洞列表