CVE-2026-8255 Devs Palace ERP Online跨站脚本漏洞

漏洞信息

漏洞编号

CVE-2026-8255

漏洞类型

跨站脚本 (XSS)

CVSS评分

2.4 低危

攻击向量

网络 (AV:N)

认证要求

高权限 (PR:H)

用户交互

需要交互 (UI:R)

影响产品

Devs Palace ERP Online

漏洞概述

Devs Palace ERP Online 4.0.0及之前版本在处理`/inventory/add_new_customer`文件请求时存在跨站脚本漏洞。由于系统未对用户输入进行充分过滤，攻击者可诱导高权限用户进行交互，从而注入恶意脚本。该漏洞可被远程利用，且已有公开PoC，但厂商未响应，建议用户加强防护。

技术细节

该漏洞属于存储型跨站脚本（Stored XSS），位于Devs Palace ERP Online系统的`/inventory/add_new_customer`功能模块中。漏洞成因在于应用程序未能对用户提交的“新增客户”数据中的特殊字符（如`<script>`、`onerror`等）进行严格的转义或过滤，导致恶意代码被持久化存储在服务器数据库中。当具有高权限的管理员或其他用户访问受影响的客户列表页面时，恶意脚本会在其浏览器上下文中执行。根据CVSS向量分析，攻击需要高权限账号（PR:H）和用户交互（UI:R），且主要影响系统完整性（I:L）。攻击者可利用此漏洞窃取会话Cookie、执行未授权操作或进行钓鱼攻击。

攻击链分析

STEP 1

1. 信息收集

攻击者识别目标运行Devs Palace ERP Online，并确认存在/inventory/add_new_customer接口。

STEP 2

2. 获取权限

攻击者获取一个高权限账号（PR:H），因为漏洞利用需要较高的权限。

STEP 3

3. 注入载荷

攻击者使用高权限账号登录，访问添加客户页面，并在输入框中注入恶意的JavaScript代码（如XSS Payload）。

STEP 4

4. 诱导交互

攻击者诱导管理员或受害用户访问包含恶意数据的客户列表页面，触发用户交互条件（UI:R）。

STEP 5

5. 执行攻击

受害用户的浏览器解析并执行恶意脚本，可能导致Cookie窃取或会话劫持。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

POST /inventory/add_new_customer HTTP/1.1 Host: target-ip Content-Type: application/x-www-form-urlencoded Cookie: session_id=... -- Boundary Data -- name=<script>alert('XSS')</script>&[email protected]&phone=123456 // Explanation: Inject a script tag into the customer name field.

影响范围

Devs Palace ERP Online <= 4.0.0

防御指南

临时缓解措施

鉴于厂商尚未发布修复补丁，建议暂时禁用非必要的用户输入功能或通过WAF拦截针对`/inventory/add_new_customer`的异常请求。同时，管理员应避免点击来源不明的链接，并定期检查系统日志中是否存在异常的客户记录。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2026-8255
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2026-8255
3 Details https://www.cvedetails.com/cve/CVE-2026-8255/
4 VulDB https://vuldb.com/cve/CVE-2026-8255
5 Link https://olografix.org/acme/_poc/ERP_Online-POC1.gif
6 Link https://vuldb.com/submit/808526
7 Link https://vuldb.com/vuln/362552
8 Link https://vuldb.com/vuln/362552/cti