CVE-2026-5668 Cyber-III学生管理系统XSS漏洞

漏洞信息

漏洞编号

CVE-2026-5668

漏洞类型

XSS (跨站脚本攻击)

CVSS评分

2.4 低危

攻击向量

网络 (AV:N)

认证要求

高权限 (PR:H)

用户交互

需要交互 (UI:R)

影响产品

Cyber-III Student-Management-System

漏洞概述

Cyber-III Student-Management-System 在特定版本（commit 1a938fa6 之前）存在跨站脚本（XSS）漏洞。该漏洞源于 `/admin/Add notice/add notice.php` 文件未正确过滤 `$_SERVER['PHP_SELF']` 参数。攻击者可构造恶意链接，诱导高权限用户访问，从而在受害者浏览器中执行任意脚本代码，破坏数据完整性。

技术细节

该漏洞位于 `/admin/Add notice/add notice.php` 脚本中。问题的根本原因是开发者直接信任并输出了 `$_SERVER['PHP_SELF']` 超全局变量。在 PHP 中，`$_SERVER['PHP_SELF']` 返回当前执行脚本的文件名，但如果 URL 包含路径信息（例如 `/script.php/foo`），`foo` 也会包含在返回值中。应用程序未对此变量进行 HTML 实体编码（如使用 `htmlspecialchars()`），便将其嵌入到 HTML 表单的 `action` 属性或页面其他位置。攻击者利用此特性，在 URL 后附加恶意的 JavaScript 代码（如 `<script>alert(1)</script>`）。当管理员（高权限用户）被诱导访问该 URL 时，恶意脚本连同页面一起返回给浏览器并被解析执行。由于 CVSS 评分要求高权限和用户交互，这通常属于反射型 XSS。尽管机密性影响为无，但攻击者可利用获得的权限执行低完整性影响的操作，如篡改页面内容或执行非预期的管理功能。

攻击链分析

STEP 1

Reconnaissance

识别目标是否使用 Cyber-III Student-Management-System，并确认其版本低于特定 commit (1a938fa6)。

STEP 2

Weaponization

构造包含恶意 JavaScript 代码的 URL，利用 `$_SERVER['PHP_SELF']` 未过滤的特性，将 payload 注入到 URL 路径中。

STEP 3

Delivery

通过钓鱼邮件或即时通讯工具，将构造好的恶意链接发送给拥有高权限（管理员）账户的目标用户。

STEP 4

Exploitation

目标管理员点击链接，服务器处理请求并将未经过滤的 `$_SERVER['PHP_SELF']` 值返回给浏览器。

STEP 5

Execution

受害者的浏览器解析响应页面，执行注入的恶意脚本，可能导致会话劫持或执行未授权操作。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

<!-- Vulnerable code snippet typically looks like this -->
<!-- <form action="<?php echo $_SERVER['PHP_SELF']; ?>" method="post"> -->

<!-- PoC URL to trigger the vulnerability -->
<!-- http://[TARGET]/admin/Add%20notice/add%20notice.php/"><script>alert(1)</script>-->

<!-- PHP Code to reproduce the issue -->
<?php
// Simulation of the vulnerable variable
$vulnerable_input = $_SERVER['PHP_SELF'];
// If the URL is: /admin/Add%20notice/add%20notice.php/"<script>alert(1)</script>
// $vulnerable_input will contain the script tag.
echo "<form action='$vulnerable_input' method='POST'>";
?>

影响范围

Cyber-III Student-Management-System <= commit 1a938fa61e9f735078e9b291d2e6215b4942af3f

防御指南

临时缓解措施

在无法立即升级代码的情况下，建议开发人员在受影响的文件 `/admin/Add notice/add notice.php` 中，对 `$_SERVER['PHP_SELF']` 的使用进行全局替换或过滤。使用 `basename($_SERVER['PHP_SELF'])` 或 `strip_tags()` 函数处理该变量，确保没有 HTML 标签被注入到页面中。同时，管理员应警惕来源不明的链接，避免在已登录状态下点击可疑 URL。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2026-5668
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2026-5668
3 Details https://www.cvedetails.com/cve/CVE-2026-5668/
4 VulDB https://vuldb.com/cve/CVE-2026-5668
5 Link https://github.com/Cyber-III/Student-Management-System/
6 Link https://github.com/Cyber-III/Student-Management-System/issues/239
7 Link https://vuldb.com/submit/785895
8 Link https://vuldb.com/vuln/355490
9 Link https://vuldb.com/vuln/355490/cti