CVE-2026-8496 Alinto SOGo存储型XSS漏洞

漏洞信息

漏洞编号

CVE-2026-8496

漏洞类型

跨站脚本攻击 (XSS)

CVSS评分

6.1 中危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

需要交互 (UI:R)

影响产品

Alinto SOGo

漏洞概述

Alinto SOGo 5.12.7版本存在存储型XSS漏洞。该漏洞由于应用程序未能充分清理ICS日历邀请描述字段中的SVG内容所致。攻击者可利用包含onrepeat事件处理器的恶意SVG文件，在受害者查看日历邀请时执行任意JavaScript代码，导致会话劫持和数据窃取。

技术细节

该漏洞属于存储型跨站脚本攻击（Stored XSS），核心问题出在Alinto SOGo处理ICS日历邀请文件组件的输入验证机制上。攻击者能够构造特制的ICS文件，将其中的“DESCRIPTION”字段填充为包含恶意SVG标签的数据。关键在于，SOGo未能对SVG标签中的特定事件处理器（如onrepeat）进行净化处理。当受害者通过Webmail界面点击或预览该日历邀请时，恶意SVG内容会被渲染，触发onrepeat事件，进而执行嵌入的JavaScript代码。由于该操作是在受害者已登录的Webmail会话上下文中进行的，攻击者可以利用JavaScript访问DOM、读取本地存储、窃取Session ID，进而完全接管用户账户，获取邮件内容和通讯录，甚至冒充用户发送钓鱼邮件。

攻击链分析

STEP 1

侦察

攻击者确认目标使用的是存在漏洞的Alinto SOGo 5.12.7版本。

STEP 2

武器化

攻击者构造一个包含恶意SVG代码的ICS日历邀请文件，利用onrepeat事件处理器嵌入XSS Payload。

STEP 3

投递

攻击者通过电子邮件将包含恶意ICS文件的日历邀请发送给目标受害者。

STEP 4

利用

受害者在Webmail界面查看或预览该日历邀请，浏览器解析未经过滤的SVG内容并触发XSS。

STEP 5

执行

JavaScript代码在受害者浏览器中执行，窃取Cookie或执行敏感操作。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

BEGIN:VCALENDAR VERSION:2.0 PRODID:-//PoC Generator//XSS//EN BEGIN:VEVENT UID:[email protected] DTSTAMP:20260513T191731Z DTSTART:20260513T200000Z DTEND:20260513T210000Z SUMMARY:Meeting Invite DESCRIPTION:<svg xmlns="http://www.w3.org/2000/svg"><set attributeName="onrepeat" to="alert('XSS')"/></svg> END:VEVENT END:VCALENDAR

影响范围

Alinto SOGo 5.12.7

防御指南

临时缓解措施

建议管理员尽快升级到修复版本。在升级前，可配置邮件网关过滤或删除ICS文件附件，或禁用Webmail界面的日历预览功能，以防止恶意代码被触发。