CVE-2026-4991 — 神龙十问 AI 深度分析摘要

🚨 **本质**：QDOCS 入学查询模块的跨站脚本（XSS）漏洞。 💥 **后果**：攻击者可注入恶意脚本，窃取用户 Cookie 或会话信息。

🔍 **根本原因**：前端未对“入学查询”输入参数进行有效过滤。 ⚠️ **缺陷点**：用户可控数据直接渲染到页面，触发浏览器执行恶意代码。

🏫 **受影响组件**：QDOCS Smart School Management System。 📉 **版本范围**：明确提及版本 7.2 存在此漏洞。

🕵️‍♂️ **黑客权限**：需具备低权限（PR:L），通常需登录。 📂 **数据窃取**：可获取当前登录用户的敏感信息或执行钓鱼操作。

🚪 **利用门槛**：中等。 🔑 **前置条件**：攻击者需诱导受害者（UI:R）点击恶意链接，且目标需拥有登录权限。

🛠️ **现成工具**：暂无公开 PoC 代码（pocs 列表为空）。 🌐 **在野情况**：已有第三方安全报告提交，需警惕潜在利用。

🔎 **自查方法**：重点扫描“入学查询”功能入口。 🧪 **测试特征**：在查询参数中注入 `<script>` 标签，观察是否回显执行。

🛡️ **官方状态**：数据未明确提供官方补丁链接。 📝 **建议**：关注 QDOCS 官方公告，等待安全更新发布。

🚧 **临时规避**：部署 WAF 规则拦截 XSS 特征。 🔒 **访问控制**：限制“入学查询”页面的访问 IP 范围或增加二次验证。

🔥 **紧急程度**：中高风险（CVSS 3.1）。 📅 **优先级**：建议尽快排查，特别是学校开放招生季期间需重点防护。