CVE-2026-8195 JeecgBoot SVG文件处理存储型XSS漏洞

漏洞信息

漏洞编号

CVE-2026-8195

漏洞类型

XSS (跨站脚本攻击)

CVSS评分

4.3 中危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

需要交互 (UI:R)

影响产品

JeecgBoot

漏洞概述

JeecgBoot 3.9.1及以下版本存在存储型跨站脚本（XSS）漏洞。漏洞位于CommonController.java中的SVG文件处理组件。由于系统未能正确过滤SVG文件中的恶意代码，攻击者可上传特制的SVG文件。当受害者在浏览器中查看该文件时，将触发恶意脚本执行。目前该漏洞利用方式已公开，且厂商尚未发布修复补丁。

技术细节

该漏洞的核心在于JeecgBoot框架在处理用户上传的SVG文件时，缺乏有效的安全校验机制。SVG文件基于XML格式，支持嵌入JavaScript代码。攻击者利用受影响的`CommonController`接口上传包含恶意Payload的SVG文件。当未授权的攻击者上传文件后，诱导已登录的管理员或普通用户访问该文件的预览链接，浏览器会解析SVG并执行其中的脚本。这可能导致攻击者窃取Session凭据、执行未授权操作或进行钓鱼攻击。CVSS向量为AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:N，表明虽然需要用户交互，但攻击无需认证即可发起。

攻击链分析

STEP 1

构造Payload

攻击者创建包含恶意JavaScript代码的SVG文件。

STEP 2

上传文件

攻击者利用CommonController接口将恶意SVG文件上传至服务器。

STEP 3

诱导访问

攻击者发送包含SVG文件链接的钓鱼邮件或消息给目标用户。

STEP 4

执行攻击

用户点击链接，浏览器解析SVG并执行恶意脚本，导致Cookie泄露或会话劫持。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

<!-- PoC for CVE-2026-8195 JeecgBoot SVG Stored XSS -->
<svg xmlns="http://www.w3.org/2000/svg">
  <script>
    alert('CVE-2026-8195 XSS');
  </script>
</svg>

影响范围

JeecgBoot <= 3.9.1

防御指南

临时缓解措施

建议暂时禁用SVG文件上传功能，或在Web应用防火墙（WAF）中添加规则，拦截包含`<script>`标签的文件上传请求。同时，加强用户安全意识教育，不轻易打开来源不明的图片链接。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2026-8195
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2026-8195
3 Details https://www.cvedetails.com/cve/CVE-2026-8195/
4 VulDB https://vuldb.com/cve/CVE-2026-8195
5 Link https://github.com/xpp3901/CVE_APPLY/blob/main/V-006_SVG_Stored_XSS/README.md
6 Link https://vuldb.com/submit/803528
7 Link https://vuldb.com/vuln/362347
8 Link https://vuldb.com/vuln/362347/cti