CVE-2026-8220 Devs Palace ERP Online 存储型XSS漏洞

漏洞信息

漏洞编号

CVE-2026-8220

漏洞类型

跨站脚本 (XSS)

CVSS评分

2.4 低危

攻击向量

网络 (AV:N)

认证要求

高权限 (PR:H)

用户交互

需要交互 (UI:R)

影响产品

Devs Palace ERP Online

漏洞概述

Devs Palace ERP Online 4.0.0及之前版本在/inventory/customer-save接口存在跨站脚本漏洞。攻击者需具有高权限，通过注入恶意脚本操纵数据，当其他用户浏览受影响页面时触发攻击。目前漏洞利用代码已公开，厂商未回应，风险等级为低危。

技术细节

该漏洞源于Devs Palace ERP Online在处理/inventory/customer-save文件请求时，未对用户提交的输入数据进行充分的过滤与转义。攻击者必须拥有高权限账户，利用此缺陷将恶意JavaScript代码植入数据库中。当具有高权限的其他管理员或用户访问包含该数据的页面时，恶意脚本将在其浏览器端执行。由于CVSS向量显示需要高权限（PR:H）和用户交互（UI:R），攻击难度相对较高，但仍可用于窃取敏感凭证、进行会话劫持或执行未授权操作。

攻击链分析

STEP 1

1. 身份认证

攻击者需要获取高权限账户（如管理员账号）才能访问受影响的接口。

STEP 2

2. 漏洞利用

攻击者向 /inventory/customer-save 发送请求，在参数中注入恶意的 JavaScript 代码。

STEP 3

3. 数据存储

由于缺乏过滤，恶意代码被存储在应用程序的数据库中。

STEP 4

4. 触发攻击

当其他高权限用户访问显示该数据的页面时，恶意脚本在浏览器中执行，完成攻击。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

<!--
PoC for CVE-2026-8220
Target: /inventory/customer-save
Method: POST
Description: Inject XSS payload into vulnerable parameter
-->

<script>
  // Simple XSS payload to test vulnerability
  alert('CVE-2026-8220 XSS Executed');
</script>

<!-- Or using image tag for stealth -->
<img src=x onerror=alert(document.cookie)>

影响范围

Devs Palace ERP Online <= 4.0.0

防御指南

临时缓解措施

由于厂商尚未提供修复补丁，建议暂时限制对库存管理模块的非必要访问，加强管理员账户的安全审计，并确保所有用户在浏览系统页面时保持警惕，不要点击可疑链接。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2026-8220
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2026-8220
3 Details https://www.cvedetails.com/cve/CVE-2026-8220/
4 VulDB https://vuldb.com/cve/CVE-2026-8220
5 Link https://olografix.org/acme/_poc/ERP_Online-POC1.gif
6 Link https://vuldb.com/submit/808261
7 Link https://vuldb.com/vuln/362437
8 Link https://vuldb.com/vuln/362437/cti