支持本站 — 捐款将帮助我们持续运营

目标:1000 元,已筹:736

73.6%
立即捐款
一、 漏洞 CVE-2026-1049 基础信息
漏洞信息
                                        # LigeroSmart index.pl 跨站脚本漏洞

## 概述
LigeroSmart 最高至版本 6.1.26 存在一个跨站脚本(XSS)安全漏洞,存在于 `/otrs/index.pl` 文件的某个未知函数中。

## 影响版本
LigeroSmart 6.1.26 及之前版本。

## 细节
攻击者通过操控 `TicketID` 参数可触发跨站脚本漏洞,该漏洞位于 `/otrs/index.pl` 文件中。攻击无需身份验证,可远程实施。

## 影响
可远程利用此漏洞执行任意 JavaScript 代码,可能导致会话劫持、用户信息窃取等安全风险。该漏洞的利用方法已公开披露并可能被实际利用。项目方此前已通过问题报告获知此问题,但尚未回应。
神龙判断

是否为 Web 类漏洞: 未知

判断理由:

N/A
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
LigeroSmart index.pl cross site scripting
来源:美国国家漏洞数据库 NVD
漏洞描述信息
A security vulnerability has been detected in LigeroSmart up to 6.1.26. The affected element is an unknown function of the file /otrs/index.pl. Such manipulation of the argument TicketID leads to cross site scripting. It is possible to launch the attack remotely. The exploit has been disclosed publicly and may be used. The project was informed of the problem early through an issue report but has not responded yet.
来源:美国国家漏洞数据库 NVD
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:N/I:L/A:N
来源:美国国家漏洞数据库 NVD
漏洞类别
在Web页面生成时对输入的转义处理不恰当(跨站脚本)
来源:美国国家漏洞数据库 NVD
二、漏洞 CVE-2026-1049 的公开POC
#POC 描述源链接神龙链接
三、漏洞 CVE-2026-1049 的情报信息

  • 标题: Xss - TickeID · Issue #280 · LigeroSmart/ligerosmart -- 🔗来源链接

    标签:issue-tracking

    神龙速读:
                                            ## 关键信息

- **漏洞类型**: XSS (跨站脚本攻击)
- **漏洞 ID**: #280
- **页面**: `/otrs/index.pl`
- **HTTP 方法**: POST
- **Content-Type**: multipart/form-data
- **Referer**: `http://192.168.12.212/otrs/index.pl`
- **Cookie**: 包含 OTRS Agent Interface 会话信息
- **User-Agent**: 多种浏览器标识(Chrome, Safari, Firefox, etc.)
- **Payload**: 
    ```html
    <script>alert(document.domain)</script>
    ```
- **状态**: Open (未解决)
- **提交者**: `chor4o`
- **提交时间**: 2 周前

### 影响
- **域名**: `192.168.12.212`
- **界面**: OTRS 系统的 TicketID 页面可能存在注入点,可导致任意脚本执行。

### 证据
- 截图显示,XSS 脚本成功在目标页面执行,弹出 `document.domain` 内容。

### 注意
- 此漏洞可能允许攻击者在受影响的页面中执行任意 JavaScript 代码,需要尽快修复以防止潜在的安全风险。
    Xss - TickeID · Issue #280 · LigeroSmart/ligerosmart

  • 标题: Xss - TickeID · Issue #280 · LigeroSmart/ligerosmart -- 🔗来源链接

    标签:exploitissue-tracking

    神龙速读:
                                            ### 关键信息

- **漏洞类型**: XSS (跨站脚本攻击)
- **TicketID**: #280
- **问题描述**:
    - 在 `TicketID` 参数中发现 XSS 漏洞
- **HTTP 请求详细信息**:
    - 请求方法: POST
    - 请求路径: `/otrs/index.pl`
    - HTTP 版本: HTTP/1.1
    - Content-Type: multipart/form-data
    - Referer: `http://192.168.12.212/otrs/index.pl`
    - Cookie: 包含 OTRS 会话信息
    - User-Agent: 包含浏览器和操作系统信息
- **特定请求示例**:
    - `TicketID` 参数包含恶意脚本 `<script>alert(document.domain)</script>`
- **漏洞影响**: 
    - 成功触发了 `alert(document.domain)` 弹窗,证明 XSS 注入成功执行
- **上报时间**: 2 周前
    Xss - TickeID · Issue #280 · LigeroSmart/ligerosmart
  • https://vuldb.com/?ctiid.341601signaturepermissions-required

  • 标题: vuldb.com -- 🔗来源链接

    标签:vdb-entrytechnical-description

    神龙速读:
                                            ### 关键信息

- **HTTP 错误**:443
- **页面状态**:无法正常工作
- **建议措施**:联系网站所有者
- **用户操作**:可以尝试重新加载

从截图中获取的信息表明,该网页由于HTTP错误443导致无法正常显示,可能涉及服务器端的配置问题或防火墙阻止了安全连接。
    vuldb.com
  • https://vuldb.com/?submit.729402third-party-advisory
  • https://nvd.nist.gov/vuln/detail/CVE-2026-1049
四、漏洞 CVE-2026-1049 的评论

暂无评论

发表评论