CVE-2026-5370Krayin Laravel CRM 2.2及之前版本存在安全漏洞。该漏洞位于Activities Module/Notes Module组件的`composeMail`函数中,由于缺乏严格的输入过滤,导致存储型跨站脚本(XSS)。攻击者可远程利用此漏洞,诱导低权限用户交互,从而执行恶意脚本代码,影响系统完整性。
该漏洞源于Krayin Laravel CRM在处理邮件相关数据时,`composeMail`函数未对用户提供的数据进行有效的HTML实体编码或严格的输入验证。攻击者可以构造包含恶意JavaScript代码的Payload发送至服务器,将其存储在数据库中。当具有低权限(PR:L)的用户在浏览器中查看被注入的邮件或笔记内容并进行交互(UI:R)时,嵌入的恶意脚本将在受害者浏览器上下文中执行。根据CVSS 3.1向量分析,该漏洞攻击复杂度低(AC:L),攻击网络可达(AV:N),主要威胁系统完整性(I:L)。虽然机密性评级为无,但成功的利用可能导致用户会话劫持、账户接管或恶意操作。