CVE-2026-32890 — 神龙十问 AI 深度分析摘要

🚨 **本质**：存储型 XSS（Stored XSS） 📉 **后果**：Web 仪表板用户映射下拉菜单被注入恶意脚本，导致**凭据泄露**，严重危害系统安全。

🔍 **CWE**：CWE-79（跨站脚本） 📍 **缺陷点**：Anchorr 的 **Web 仪表板**中，**用户映射下拉菜单**未对输入进行充分过滤，允许恶意代码持久化存储。

🎯 **受影响产品**：Anchorr (由 openVESSL 开发) 📦 **版本范围**：**1.4.1 及之前版本**。 ⚠️ 注意：1.4.2 已修复。

💀 **黑客能力**： 1️⃣ **窃取凭据**：劫持用户会话或提取敏感认证信息。 2️⃣ **权限提升**：利用 S:C (改变安全上下文) 特性，影响范围扩大。 3️⃣ **数据篡改**：高完整性 (I:H) 风险，可修改页面内容。

🚧 **利用门槛**：中等 👤 **前置条件**：需要 **UI:R** (用户交互)。 🌐 **网络访问**：AV:N (网络可访问)。 🔑 **权限要求**：PR:N (无需权限) 即可触发，但需诱骗用户点击或加载受影响页面。

📦 **Exp/PoC**：当前数据中 **pocs 为空**。 🕵️ **在野利用**：未提及。 🔗 **参考**：GitHub Advisory (GHSA-qpmq-6wjc-w28q) 已确认，建议关注官方动态。

🔎 **自查方法**： 1️⃣ 检查 Anchorr 版本是否 **≤ 1.4.1**。 2️⃣ 审计 Web 仪表板的 **用户映射下拉菜单** 输入输出。 3️⃣ 扫描是否存在未转义的 **HTML/JS 脚本** 注入点。

🛡️ **官方修复**：✅ **已修复**。 📥 **升级方案**：升级至 **v1.4.2**。 🔗 **修复提交**：Commit d5ae67e5b455241274ed0072cf2db43a6eb3f0b2。

🚑 **临时规避**： 1️⃣ **禁用** Web 仪表板中受影响的下拉菜单功能。 2️⃣ 实施 **WAF 规则**，过滤包含 `<script>` 或事件处理器的输入。 3️⃣ 限制仪表板访问权限，仅对可信 IP 开放。

⚡ **优先级**：🔴 **高** 📊 **CVSS**：9.1 (Critical) 💡 **建议**：立即升级至 **v1.4.2**！凭据泄露风险极大，切勿拖延。