CVE-2026-8219 Devs Palace ERP Online XSS漏洞

漏洞信息

漏洞编号

CVE-2026-8219

漏洞类型

跨站脚本 (XSS)

CVSS评分

2.4 低危

攻击向量

网络 (AV:N)

认证要求

高权限 (PR:H)

用户交互

需要交互 (UI:R)

影响产品

Devs Palace ERP Online

漏洞概述

Devs Palace ERP Online 4.0.0及之前版本在`/inventory/supplier-save`组件中存在跨站脚本漏洞。由于系统对用户输入缺乏充分过滤，拥有高权限的攻击者可注入恶意脚本。当其他用户交互触发时，脚本将在受害者浏览器中执行，可能导致数据完整性受损。

技术细节

该漏洞源于Devs Palace ERP Online在处理`/inventory/supplier-save`接口的请求时，未对特定参数进行有效的安全编码。攻击者需利用高权限账户（如管理员）提交包含恶意JavaScript代码的数据（如供应商描述字段）。虽然CVSS评分较低，但一旦成功利用，当其他用户查看被篡改的数据时，恶意脚本将在其浏览器上下文中运行，可能导致会话劫持或恶意操作，影响系统的数据完整性。

攻击链分析

STEP 1

1. 信息收集

攻击者识别目标系统运行Devs Palace ERP Online 4.0.0及以下版本。

STEP 2

2. 获取权限

攻击者获取系统的高权限账户（满足PR:H要求）。

STEP 3

3. 漏洞利用

攻击者向`/inventory/supplier-save`接口发送包含恶意脚本的数据包。

STEP 4

4. 诱导触发

诱导其他用户（如管理员）访问包含恶意数据的页面（满足UI:R要求）。

STEP 5

5. 执行攻击

恶意脚本在受害者浏览器中执行，窃取凭据或篡改数据。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests # Target configuration target_url = "http://example.com/inventory/supplier-save" # Malicious payload to test XSS xss_payload = "<img src=x onerror=alert('CVE-2026-8219')>" # Data payload simulating the vulnerable request post_data = { "supplier_name": "Test Supplier", "contact_info": "[email protected]", "notes": xss_payload # Injection point } # Note: This requires a valid authenticated session (High Privilege) # cookies = {'PHPSESSID': '...'} # response = requests.post(target_url, data=post_data, cookies=cookies) # print(response.status_code)

影响范围

Devs Palace ERP Online <= 4.0.0

防御指南

临时缓解措施

目前厂商尚未发布补丁。建议立即限制对供应商管理接口的访问权限，并在输入端部署严格的输入验证机制，过滤特殊字符。同时，建议用户谨慎点击不明链接，并在浏览器中禁用脚本执行作为临时措施。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2026-8219
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2026-8219
3 Details https://www.cvedetails.com/cve/CVE-2026-8219/
4 VulDB https://vuldb.com/cve/CVE-2026-8219
5 Link https://olografix.org/acme/_poc/ERP_Online-POC1.gif
6 Link https://vuldb.com/submit/808257
7 Link https://vuldb.com/vuln/362436
8 Link https://vuldb.com/vuln/362436/cti