IPBUF安全漏洞报告
English
CVE-2026-8117 CVSS 4.3 中危

CVE-2026-8117: Pizzafy电商系统跨站脚本漏洞

披露日期: 2026-05-08
来源: [email protected]

漏洞信息

漏洞编号
CVE-2026-8117
漏洞类型
跨站脚本(XSS)
CVSS评分
4.3 中危
攻击向量
网络 (AV:N)
认证要求
无需认证 (PR:N)
用户交互
需要交互 (UI:R)
影响产品
SourceCodester Pizzafy Ecommerce System

相关标签

XSSCross Site ScriptingPizzafySourceCodesterWeb安全CVE-2026-8117

漏洞概述

SourceCodester Pizzafy Ecommerce System 1.0版本中的/admin/index.php文件存在安全漏洞。由于未对参数'page'进行充分过滤,导致攻击者可利用该漏洞实施跨站脚本攻击。攻击可远程发起,目前已公开披露,需引起重视。

技术细节

该漏洞属于反射型跨站脚本(XSS)。漏洞根源在于SourceCodester Pizzafy Ecommerce System 1.0的/admin/index.php页面在处理'page'参数时,未对用户输入的数据进行严格的校验和HTML实体编码。攻击者可以构造特制的恶意链接,将JavaScript代码注入到该参数中。当管理员或其他用户访问该链接时,服务器会将恶意脚本原样反射并渲染到受害者的浏览器中。由于CVSS向量显示PR:N(无需认证)且UI:R(需要用户交互),攻击者通常通过社会工程学手段诱导受害者点击链接,从而在受害者浏览器上下文中执行恶意代码,窃取Cookie或进行恶意操作。

攻击链分析

STEP 1
侦察
攻击者识别目标系统运行的是SourceCodester Pizzafy Ecommerce System 1.0。
STEP 2
构建载荷
攻击者构造包含恶意JavaScript代码的URL,针对/admin/index.php的'page'参数。
STEP 3
投递攻击
攻击者通过钓鱼邮件或其他方式将恶意链接发送给管理员或目标用户。
STEP 4
触发漏洞
用户点击链接,浏览器向服务器发送请求,'page'参数未经过滤直接返回。
STEP 5
执行代码
受害者的浏览器解析并执行反射回来的恶意脚本,导致Session泄露或其他恶意行为。

PoC / 利用代码

⚠️ 仅供安全研究
以下代码仅用于安全研究和授权测试,未经授权使用属于违法行为。
PoC
// PoC for CVE-2026-8117 // Vulnerable Parameter: page // Affected File: /admin/index.php import requests url = "http://target/admin/index.php" payload = "<script>alert(document.cookie)</script>" # Send malicious request params = {'page': payload} response = requests.get(url, params=params) # Check if payload is reflected unfiltered if payload in response.text: print("[+] Vulnerability confirmed. XSS payload executed in response.") else: print("[-] Vulnerability not detected or patched.")

影响范围

SourceCodester Pizzafy Ecommerce System 1.0

防御指南

临时缓解措施
在官方补丁发布前,建议管理员限制对/admin/index.php页面的网络访问,仅允许可信IP访问。同时,应加强对管理员的网络安全意识培训,避免点击来源不明的链接。部署WAF规则对包含<script>标签或常见XSS关键字的请求进行过滤。

参考链接

法律声明

以上信息仅供安全研究和授权渗透测试使用。未经授权对他人系统进行测试属于违法行为。利用本报告内容进行非法活动者,后果自负。