CVE-2026-34559 — 神龙十问 AI 深度分析摘要
CVSS 9.1 · Critical
本页是神龙十问 AI 深度分析的
摘要版。完整版(更长回答、追问、相关漏洞)需
登录查看 →Q1这个漏洞是什么?(本质+后果)
🚨 **本质**:存储型 XSS(跨站脚本)。 💥 **后果**:攻击者注入恶意 JS,受害者访问标签页时执行,导致**会话劫持**或**页面篡改**。
Q2根本原因?(CWE/缺陷点)
🔍 **CWE**:CWE-79 (XSS)。 🛠 **缺陷点**:创建/编辑**博客标签**时,未对用户输入进行正确清理(Sanitization)。
Q3影响谁?(版本/组件)
📦 **产品**:CI4MS (博客管理工具)。 🏢 **厂商**:ci4-cms-erp。 ⚠️ **版本**:**0.31.0.0 之前**的所有版本。
Q4黑客能干啥?(权限/数据)
🕵️ **黑客能力**: 1. 窃取用户 Cookie/Session。 2. 伪造用户身份操作。 3. 钓鱼或重定向受害者。 🔑 **权限**:需登录用户权限(PR:L)。
Q5利用门槛高吗?(认证/配置)
🚧 **门槛**:中等。 ✅ **无需认证绕过**(UI:N)。 ⚠️ **需登录**(PR:L)才能创建/编辑标签。 🚀 **利用简单**(AC:L)。
Q6有现成Exp吗?(PoC/在野利用)
📜 **Exp/PoC**:数据中 **pocs 为空**。 🌍 **在野利用**:未提及。 🔗 **参考**:见 GitHub Advisory (GHSA-4333-387x-w245)。
Q7怎么自查?(特征/扫描)
🔎 **自查特征**: 1. 检查 CI4MS 版本 < 0.31.0.0。 2. 扫描博客标签输入框是否反射/存储恶意脚本。 3. 查看源码是否对标签字段做 HTML 转义。
Q8官方修了吗?(补丁/缓解)
🛡️ **官方修复**:是。 📥 **补丁版本**:**0.31.0.0** 及以后。 🔗 **链接**:GitHub Releases 页面已发布修复版。
Q9没补丁咋办?(临时规避)
🚑 **临时规避**: 1. **升级**至 0.31.0.0+(首选)。 2. 若无补丁:禁用标签编辑功能。 3. 配置 WAF 拦截 `<script>` 等 XSS 特征。 4. 严格过滤标签输入字段。
Q10急不急?(优先级建议)
⚡ **优先级**:**高**。 📊 **CVSS**:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:L/A:L。 💡 **理由**:网络可攻击、无需交互、危害高(C:H),且为存储型,影响持久。建议**立即升级**。