CVE-2026-7230 CVSS 4.3 中危

CVE-2026-7230: SourceCodester Safety Anger Pad跨站脚本漏洞

披露日期: 2026-04-28

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-7230

漏洞类型

跨站脚本 (XSS)

CVSS评分

4.3 中危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

需要交互 (UI:R)

影响产品

SourceCodester Safety Anger Pad 1.0

漏洞概述

SourceCodester Safety Anger Pad 1.0版本被发现存在跨站脚本漏洞（XSS）。该漏洞源于应用程序未能正确过滤用户通过`angerDisplay`参数提交的输入。由于该漏洞无需身份认证且可被远程利用，攻击者可以构造包含恶意脚本的特制链接。一旦受害者点击该链接，恶意脚本将在其浏览器中执行，从而导致会话劫持、敏感信息窃取或网页内容被篡改。

技术细节

该漏洞属于反射型跨站脚本漏洞（Reflected XSS），存在于SourceCodester Safety Anger Pad 1.0的未知功能组件中。其根本原因是应用程序对`angerDisplay`参数缺乏严格的输入验证和输出编码。当服务器处理带有该参数的HTTP请求时，会将参数值直接反射到响应页面中。攻击者可以利用这一缺陷，构造形如`?angerDisplay=<script>...`的恶意URL。根据CVSS向量分析，攻击复杂度低（AC:L），无需权限（PR:N），但需要用户交互（UI:R），即需要诱导受害者访问恶意链接。一旦受害者访问，浏览器将解析并执行注入的脚本，攻击者可借此绕过同源策略，获取受害者的Cookie或进行其他恶意操作。

攻击链分析

STEP 1

侦查

攻击者识别出目标网站正在使用SourceCodester Safety Anger Pad 1.0，并确认存在angerDisplay参数接口。

STEP 2

武器化

攻击者构造包含恶意JavaScript代码的Payload，并将其编码进angerDisplay参数，形成恶意URL。

STEP 3

投递

攻击者通过钓鱼邮件、社交媒体或即时通讯软件将恶意链接发送给目标受害者。

STEP 4

利用

受害者点击链接，向服务器发送请求。服务器将未经过滤的参数值反射回页面，受害者浏览器解析并执行恶意脚本。

STEP 5

影响

恶意脚本在受害者浏览器上下文中运行，窃取Session Cookie或进行其他恶意操作，导致数据泄露或完整性受损。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

// PoC for CVE-2026-7230
// Vulnerable Parameter: angerDisplay
// Description: Testing Reflected XSS via angerDisplay parameter

// Construct the malicious payload
var payload = "<script>alert('CVE-2026-7230_XSS');</script>";

// Simulate the vulnerable request URL
var targetUrl = "http://target_host/page";
var exploitUrl = targetUrl + "?angerDisplay=" + encodeURIComponent(payload);

console.log("Exploit URL: " + exploitUrl);

// If a user visits the exploitUrl, the alert box should trigger,
// confirming the execution of arbitrary JavaScript code.

影响范围

SourceCodester Safety Anger Pad 1.0

防御指南

临时缓解措施

建议立即检查SourceCodester Safety Anger Pad的源代码，对`angerDisplay`参数的输出位置添加HTML转义处理。在未修复前，可部署Web应用防火墙（WAF）规则，拦截包含常见XSS特征（如<script>标签、javascript:协议等）的请求流量，以降低被攻击的风险。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2026-7230
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2026-7230
3 Details https://www.cvedetails.com/cve/CVE-2026-7230/
4 VulDB https://vuldb.com/cve/CVE-2026-7230
5 Link https://vuldb.com/submit/802541
6 Link https://vuldb.com/vuln/359839
7 Link https://vuldb.com/vuln/359839/cti
8 Link https://www.sourcecodester.com/

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表