CVE-2026-21855 — 神龙十问 AI 深度分析摘要
CVSS 9.3 · Critical
本页是神龙十问 AI 深度分析的
摘要版。完整版(更长回答、追问、相关漏洞)需
登录查看 →Q1这个漏洞是什么?(本质+后果)
🚨 **本质**:反射型 XSS 漏洞,藏在 Toast 通知系统里。 💥 **后果**:攻击者能在受害者浏览器里跑任意 JS,页面被劫持,体验极差。
Q2根本原因?(CWE/缺陷点)
🔍 **CWE**:CWE-79 (跨站脚本)。 📍 **缺陷点**:输入未过滤,直接渲染到 Toast 弹窗,缺乏安全转义。
Q3影响谁?(版本/组件)
📦 **产品**:Tarkov Data Manager (The Hideout 出品)。 📅 **版本**:2025年01月02日 **之前** 的版本。
Q4黑客能干啥?(权限/数据)
🕵️ **权限**:无需管理员权限,普通用户即可中招。 📊 **数据**:可窃取 Cookie/Session,执行恶意操作,危害高 (C:H, I:H)。
Q5利用门槛高吗?(认证/配置)
🚪 **门槛**:低。 🔑 **认证**:无需认证 (PR:N)。 👀 **交互**:需用户点击/触发 (UI:R),属于网络攻击 (AV:N)。
Q6有现成Exp吗?(PoC/在野利用)
💣 **Exp**:官方 Advisory 已发布,但数据中 **无** 现成 PoC 或公开在野利用记录。
Q7怎么自查?(特征/扫描)
🔎 **自查**:检查 Toast 通知模块的输入输出。 🛠 **扫描**:使用 XSS 扫描器针对通知接口进行模糊测试,看是否弹窗执行 JS。
Q8官方修了吗?(补丁/缓解)
🛡️ **修复**:官方已发布安全公告 (GHSA-9c23-rrg9-jc89)。 ✅ **建议**:立即升级至修复后的最新版本。
Q9没补丁咋办?(临时规避)
⚠️ **临时规避**:若无法升级,限制输入长度,对特殊字符进行 HTML 实体编码,或禁用 Toast 通知功能。
Q10急不急?(优先级建议)
🔥 **优先级**:高。 📉 **CVSS**:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:N。 💡 **见解**:无需认证+高危害,建议 **立即** 处理。