IPBUF安全漏洞报告
English
CVE-2026-7596 CVSS 4.3 中危

CVE-2026-7596: ui-ux-pro-max-skill 跨站脚本漏洞

披露日期: 2026-05-01
来源: [email protected]

漏洞信息

漏洞编号
CVE-2026-7596
漏洞类型
跨站脚本 (XSS)
CVSS评分
4.3 中危
攻击向量
网络 (AV:N)
认证要求
无需认证 (PR:N)
用户交互
需要交互 (UI:R)
影响产品
nextlevelbuilder ui-ux-pro-max-skill

相关标签

XSSCross Site Scriptingui-ux-pro-max-skillnextlevelbuilderCWE-79CVE-2026-7596

漏洞概述

该漏洞存在于 nextlevelbuilder ui-ux-pro-max-skill 2.5.0 及以下版本中。问题出在 Slide Generator 组件的 generate-slide.py 脚本中的 data.get 函数。攻击者可通过远程注入恶意脚本引发跨站脚本攻击。目前利用代码已公开,项目方尚未修复。

技术细节

该漏洞位于 nextlevelbuilder/ui-ux-pro-max-skill 项目的特定文件路径 `.claude/skills/design-system/scripts/generate-slide.py` 中。漏洞成因是 Slide Generator 组件内的 `data.get` 函数在处理外部输入时缺乏适当的净化或转义机制。根据 CVSS 3.1 向量 (AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:N),攻击者无需身份认证即可通过网络发起攻击,但需要用户交互(如点击链接)才能触发。攻击者可构造包含 JavaScript 代码的恶意载荷,通过 `data.get` 函数传入。当受害用户访问被篡改的内容或触发相应功能时,恶意脚本将在浏览器上下文中执行。尽管机密性影响被标记为无,但完整性影响为低,意味着攻击者可能修改页面显示或执行低权限操作。由于项目方已收到 Pull Request 通知但未响应,该风险在当前版本中持续存在。

攻击链分析

STEP 1
1. 侦察
攻击者识别出目标系统使用了 nextlevelbuilder ui-ux-pro-max-skill 组件,且版本低于等于 2.5.0。
STEP 2
2. 构造载荷
攻击者编写包含恶意 JavaScript 代码的 XSS payload,旨在利用 generate-slide.py 中 data.get 函数的过滤缺失。
STEP 3
3. 传递载荷
攻击者向目标服务器发送包含恶意 payload 的 HTTP 请求,或者在社交媒体/邮件中诱导用户点击包含恶意参数的链接。
STEP 4
4. 触发漏洞
当用户访问并交互(UI:R)受影响的页面时,服务器/前端脚本未经消毒直接处理 data.get 的数据,导致恶意代码在用户浏览器中执行。
STEP 5
5. 执行攻击
恶意脚本运行,可能窃取 Cookie、重定向用户或篡改页面内容(完整性影响)。

PoC / 利用代码

⚠️ 仅供安全研究
以下代码仅用于安全研究和授权测试,未经授权使用属于违法行为。
PoC
import requests # PoC for CVE-2026-7596 # Targeting the data.get parameter in generate-slide.py target = "http://vulnerable-host/slide-generator" payload = "<img src=x onerror=alert('CVE-2026-7596')>" # Simulating the vulnerable data input params = { "data": payload } try: r = requests.get(target, params=params) if payload in r.text: print("[+] Vulnerability detected: Payload is reflected unescaped.") else: print("[-] Payload not found or sanitized.") except Exception as e: print(f"Error connecting to target: {e}")

影响范围

nextlevelbuilder ui-ux-pro-max-skill <= 2.5.0

防御指南

临时缓解措施
在官方发布修复补丁前,建议手动修改代码库中的 `.claude/skills/design-system/scripts/generate-slide.py` 文件。确保所有通过 `data.get` 获取的数据在渲染到 HTML 页面之前,都经过适当的 HTML 转义(例如将 `<` 转义为 `&lt;`)。此外,应部署 Web 应用防火墙(WAF)规则以拦截常见的 XSS 攻击模式,并教育用户不要点击可疑链接。

参考链接

法律声明

以上信息仅供安全研究和授权渗透测试使用。未经授权对他人系统进行测试属于违法行为。利用本报告内容进行非法活动者,后果自负。

快速导航: 前沿安全 最新收录域名列表 最新威胁情报列表 最新网站排名列表 最新工具资源列表 最新CVE漏洞列表