CVE-2026-6159 CVSS 4.3 中危

CVE-2026-6159 Simple ChatBox 存储型XSS漏洞

披露日期: 2026-04-13

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-6159

漏洞类型

跨站脚本 (XSS)

CVSS评分

4.3 中危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

需要交互 (UI:R)

影响产品

code-projects Simple ChatBox

漏洞概述

code-projects Simple ChatBox 1.0及以下版本存在跨站脚本漏洞（XSS）。由于/chatbox/insert.php文件中的msg参数未经过滤处理，攻击者可以注入恶意脚本。当管理员或其他用户查看聊天记录时，恶意脚本将在其浏览器中执行，可能导致会话劫持、恶意重定向或窃取敏感信息。该漏洞利用难度低，无需身份认证即可发起攻击。

技术细节

该漏洞属于存储型跨站脚本。漏洞根源在于Simple ChatBox应用的/chatbox/insert.php端点对用户输入缺乏严格的输出编码。当应用程序处理通过msg参数提交的数据时，直接将其存储到数据库中而未进行HTML实体转义。当其他用户访问显示聊天记录的页面时，服务器将未过滤的恶意代码注入到响应页面中，导致浏览器执行该脚本。CVSS 3.1向量为AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:N，表明攻击者可从远程发起攻击，无需特权，但需要受害者查看受污染的页面才能触发。尽管官方评分机密性影响为无，但存储型XSS通常具备窃取Cookie等机密信息的潜力。

攻击链分析

STEP 1

侦察

攻击者识别目标运行的是Simple ChatBox 1.0或更早版本。

STEP 2

武器化

攻击者构造包含恶意JavaScript代码的XSS Payload（例如<script>标签或事件处理器）。

STEP 3

交付

攻击者通过POST请求向/chatbox/insert.php端点发送包含恶意Payload的msg参数，将恶意消息存储在数据库中。

STEP 4

利用

当普通用户或管理员登录并访问聊天页面查看历史记录时，加载了包含恶意代码的内容。

STEP 5

行动

受害者的浏览器解析并执行恶意脚本，可能导致Cookie窃取或会话劫持。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

<!--
PoC for CVE-2026-6159 Stored XSS in Simple ChatBox
Target: /chatbox/insert.php
Parameter: msg
-->

<html>
<body>
<form action="http://target-ip/chatbox/insert.php" method="POST">
  <label>Message:</label><br>
  <!-- Injecting JavaScript payload -->
  <input type="text" name="msg" value="<img src=x onerror=alert('CVE-2026-6159')>">
  <input type="submit" value="Send Message">
</form>

<!--
Alternatively, using curl command:
curl -X POST http://target-ip/chatbox/insert.php -d "msg=<script>alert(document.cookie)</script>"
-->
</body>
</html>

影响范围

Simple ChatBox <= 1.0

防御指南

临时缓解措施

建议立即停止使用受影响版本的Simple ChatBox，直到修复补丁可用。作为临时缓解措施，管理员应修改源代码，确保在输出用户提交的消息到HTML页面之前，使用适当的上下文感知编码（如HTML实体编码）进行转义。此外，部署Web应用防火墙（WAF）规则以拦截针对insert.php的常见XSS攻击模式也是一种有效的临时防御手段。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表