CVE-2026-5808 CVSS 4.3 中危

CVE-2026-5808 openstatus 跨站脚本漏洞

披露日期: 2026-04-08

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-5808

漏洞类型

XSS（跨站脚本）

CVSS评分

4.3 中危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

需要交互 (UI:R)

影响产品

openstatusHQ openstatus

漏洞概述

openstatusHQ openstatus 在特定提交版本前的 Onboarding Endpoint 组件中存在跨站脚本漏洞。受影响的文件为 apps/dashboard/src/app/(dashboard)/onboarding/client.tsx。由于未对输入参数 callbackURL 进行严格的过滤与转义，远程攻击者可诱导用户点击恶意链接，进而触发 XSS 攻击，在用户浏览器端执行恶意脚本，造成安全风险。

技术细节

该漏洞位于 openstatus 项目的 Dashboard 模块中的 Onboarding（入职/引导）流程。具体受影响的文件是 `apps/dashboard/src/app/(dashboard)/onboarding/client.tsx`。在处理用户注册或初始化配置时，应用程序接收 `callbackURL` 参数用于后续的跳转逻辑。由于开发人员未对该参数进行充分的输入验证和安全编码（如未进行 HTML 实体编码或 CSP 限制），导致攻击者可以将恶意 JavaScript 代码注入到该参数中。根据 CVSS 向量 CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:N，攻击无需认证且攻击复杂度低，但需要用户交互（如点击链接）。当受害者访问包含恶意 payload 的 URL 时，浏览器会解析并执行其中的脚本。虽然该漏洞主要影响完整性（I:L），但在特定组合下可能导致会话劫持或凭证窃取。官方已在提交 43d9b2b9 中修复了此问题。

攻击链分析

STEP 1

侦察

攻击者确认目标系统使用了存在漏洞的 openstatusHQ openstatus 版本。

STEP 2

构建攻击载荷

攻击者针对 callbackURL 参数构造包含恶意 JavaScript 代码的 URL。

STEP 3

诱导访问

攻击者通过钓鱼邮件或社交工程手段，诱导受害者点击包含恶意 payload 的链接。

STEP 4

执行攻击

受害者浏览器请求该 URL，服务器未过滤直接返回 callbackURL 中的内容，导致恶意脚本在受害者浏览器上下文中执行。

STEP 5

达成目标

利用执行权限窃取 Session Cookie、重定向至钓鱼网站或执行未授权操作。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

// Proof of Concept for CVE-2026-5808
// The vulnerability lies in the 'callbackURL' parameter within the Onboarding Endpoint.

function generateExploitUrl(baseUrl) {
    // Injecting a simple JavaScript alert to demonstrate the XSS
    // Attackers can replace this with more malicious payloads (e.g., cookie stealers)
    const payload = "javascript:alert('XSS-CVE-2026-5808')";
    
    // Construct the malicious URL
    const exploitUrl = `${baseUrl}?callbackURL=${encodeURIComponent(payload)}`;
    
    return exploitUrl;
}

// Usage
const target = "https://example.com/onboarding";
console.log("Exploit Link: " + generateExploitUrl(target));

影响范围

openstatusHQ openstatus <= commit 1b678e71a85961ae319cbb214a8eae634059330c

防御指南

临时缓解措施

建议立即应用官方提供的补丁（commit 43d9b2b9）。若无法立即更新，应在 Web 应用防火墙（WAF）中配置规则，拦截 Onboarding Endpoint 接口中 callbackURL 参数包含可疑脚本字符的请求，并限制该端点的访问权限。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2026-5808
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2026-5808
3 Details https://www.cvedetails.com/cve/CVE-2026-5808/
4 VulDB https://vuldb.com/cve/CVE-2026-5808
5 Link https://gist.github.com/TrebledJ/ab83abb1ca7ff6c1f39e16a37020f323
6 Link https://github.com/openstatusHQ/openstatus/
7 Link https://github.com/openstatusHQ/openstatus/commit/43d9b2b9ef8ae1a98f9bdc8a9f86d6a3dfaa2dfb
8 Link https://github.com/openstatusHQ/openstatus/pull/1981
9 Link https://vuldb.com/submit/787321
10 Link https://vuldb.com/vuln/356245
11 Link https://vuldb.com/vuln/356245/cti

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表