支持本站 — 捐款将帮助我们持续运营

目标:1000 元,已筹:736

73.6%
立即捐款
一、 漏洞 CVE-2026-1151 基础信息
漏洞信息
                                        # 技术老胡 mpay 用户中心 XSS 漏洞

## 概述
技术老虎 mpay 在版本 1.2.4 及之前存在一个跨站脚本(XSS)漏洞,位于“用户中心”组件中某个未知函数。

## 影响版本
技术老虎 mpay ≤ 1.2.4

## 细节
攻击者可远程操控“用户中心”组件中“Nickname”参数,触发跨站脚本漏洞。该漏洞成因是程序未对用户输入的 Nickname 参数进行有效过滤或转义。

## 影响
攻击者可利用公开的漏洞利用代码实施远程攻击,执行恶意脚本,窃取用户会话、劫持账户或进行钓鱼等恶意行为。
神龙判断

是否为 Web 类漏洞: 未知

判断理由:

N/A
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
technical-laohu mpay User Center cross site scripting
来源:美国国家漏洞数据库 NVD
漏洞描述信息
A weakness has been identified in technical-laohu mpay up to 1.2.4. The affected element is an unknown function of the component User Center. This manipulation of the argument Nickname causes cross site scripting. The attack may be initiated remotely. The exploit has been made available to the public and could be used for attacks.
来源:美国国家漏洞数据库 NVD
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:U/C:N/I:L/A:N
来源:美国国家漏洞数据库 NVD
漏洞类别
在Web页面生成时对输入的转义处理不恰当(跨站脚本)
来源:美国国家漏洞数据库 NVD
二、漏洞 CVE-2026-1151 的公开POC
#POC 描述源链接神龙链接
三、漏洞 CVE-2026-1151 的情报信息

  • 标题: The latest version of mpay v1.2.4 has a storage XSS vulnerability · Issue #16 · bdkuzma/vuln -- 🔗来源链接

    标签:exploitissue-tracking

    神龙速读:
                                            ### 关键漏洞信息

#### 漏洞描述
在 `mpay v1.2.4` 的 `username` 修改功能中存在存储型XSS漏洞,该漏洞允许攻击者窃取敏感用户信息、篡改页面内容并长时间传播恶意软件,严重威胁用户隐私和网站声誉。

#### 漏洞类型
存储型跨站脚本攻击 (Stored Cross-Site Scripting)

#### 影响的产品代码仓库
https://gitee.com/technical-laohu/mpay

#### 漏洞证明
在 `username` 修改功能中,输入包含恶意 `HTML` 代码,如 `<img src=x onerror=alert(1)>`,被成功反射并在页面中执行。

#### 修复建议
前端过滤数据输入,并对回显至前端的数据执行HTML实体编码。
    The latest version of mpay v1.2.4 has a storage XSS vulnerability · Issue #16 · bdkuzma/vuln

  • 标题: vuldb.com -- 🔗来源链接

    标签:signaturepermissions-required

    神龙速读:
                                            ```
### 关键漏洞信息

- **HTTP 状态码**: 443  
  这个状态码并不是标准的HTTP状态码(标准的状态码是三位数,例如404,500等)。443通常指的是HTTPS协议使用的端口号,但在这种上下文中出现,可能意味着服务器配置错误或证书问题,导致无法通过HTTPS协议正常访问网站。

- **错误信息**: "This page isn’t working"
  - **解决建议**: 如果问题持续存在,建议联系网站管理员。

- **操作提示**: 提供了Reload按钮,用于尝试重新加载页面。

**潜在漏洞**: 这可能是由于SSL/TLS证书过期、不匹配或服务器配置错误引起的,但这并不能直接说明存在安全漏洞,更可能是配置错误。如果网站确实存在安全漏洞,这可能会被利用来执行中间人攻击或其他类型的攻击,利用服务器无法正确处理HTTPS请求。

```
    vuldb.com
  • https://vuldb.com/?id.341744vdb-entrytechnical-description

  • 标题: Submit #735773: https://gitee.com/technical-laohu/mpay mpay v1.2.4 Stored Cross-Site Scripting -- 🔗来源链接

    标签:third-party-advisory

    神龙速读:
                                            ### 漏洞关键信息

- **漏洞类型**:
  - Stored Cross-Site Scripting

- **影响范围**:
  - `mpay v1.2.4`

- **漏洞详细描述**:
  - In v1.2.4 of mpay, the username modification function in the background has a storage XSS vulnerability, which can be exploited by attackers to steal user information, tamper with page content, spread malware, and significantly compromise user privacy and website reputation.

- **发现者信息**:
  - User: baihekuz (UID 84516)
  - 提交时间: 2020-01-10 05:14 AM
  - 审核时间: 2020-01-18 02:59 PM

- **漏洞状态**:
  -已经被确认。

- **VulnDB入口**:
  - 231744

- **评分**:
  - 18 Points
    Submit #735773: https://gitee.com/technical-laohu/mpay mpay v1.2.4 Stored Cross-Site Scripting
  • https://nvd.nist.gov/vuln/detail/CVE-2026-1151
四、漏洞 CVE-2026-1151 的评论

暂无评论

发表评论