一、 漏洞 CVE-2026-1161 基础信息
漏洞信息
# PBrong HRMS UpdateRecruitmentById 跨站脚本漏洞
## 概述
在 pbrong hrms 1.0.1 中发现一个跨站脚本(XSS)漏洞,位于文件 `/handler/recruitment.go` 的 `UpdateRecruitmentById` 函数。
## 影响版本
pbrong hrms 1.0.1
## 细节
漏洞存在于 `UpdateRecruitmentById` 函数中,由于对用户输入未进行充分过滤或转义,攻击者可构造恶意数据通过该接口注入恶意脚本代码。
## 影响
攻击者可远程利用该漏洞实施跨站脚本攻击,执行任意 JavaScript 代码,窃取会话、篡改页面内容或进行钓鱼攻击。该漏洞的利用方式已公开,存在被实际利用的风险。
神龙判断
是否为 Web 类漏洞: 未知
判断理由:
N/A
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
pbrong hrms recruitment.go UpdateRecruitmentById cross site scripting
来源:美国国家漏洞数据库 NVD
漏洞描述信息
A vulnerability was detected in pbrong hrms 1.0.1. The affected element is the function UpdateRecruitmentById of the file /handler/recruitment.go. The manipulation results in cross site scripting. The attack may be launched remotely. The exploit is now public and may be used.
来源:美国国家漏洞数据库 NVD
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:N/I:L/A:N
来源:美国国家漏洞数据库 NVD
漏洞类别
在Web页面生成时对输入的转义处理不恰当(跨站脚本)
来源:美国国家漏洞数据库 NVD
二、漏洞 CVE-2026-1161 的公开POC
| # | POC 描述 | 源链接 | 神龙链接 |
|---|
三、漏洞 CVE-2026-1161 的情报信息
标题: Pbrong/hrms has a Stored Cross Site Scripting vulnerability · Issue #1 · TheLiao233/cve -- 🔗来源链接
标签:exploitissue-tracking
神龙速读:以下是该网页截图中关于漏洞的关键信息,以简洁的markdown格式返回: --- ### 关键信息 #### 产品: - **Pbrong/hrms** - 版本:`1.0.1` ([https://github.com/pbrong/hrms/releases/tag/1.0.1](https://github.com/pbrong/hrms/releases/tag/1.0.1)) #### 漏洞类型: - **Stored Cross Site Scripting (XSS)** #### 描述: - Pbrong/hrms 存在一个存储型跨站脚本(XSS)漏洞。该漏洞源于用户可以输入数据的地方(如招聘信息相关部分)在更新记录时没有进行有效的xss过滤。 #### 漏洞分析: 1. 在`recruitmentGroup.POST("/edit", handler.UpdateRecruitmentById)`路径中,用户可以提交未经过滤的数据。 2. 在`GetRecruitmentByJobName`查询路径中,缺乏对返回数据的xss过滤。 #### POC(概念验证): - 进入招聘管理功能,在职位名称或描述字段中输入恶意脚本如`<script>alert('XSS')</script>`,在查询或更新后,保存并查看该数据,恶意脚本将在浏览器中执行。 #### 提交者: - **参与者**:Guozhao Liao, Yang Hou, Jie Zhu, Lujia Chai, Sidi Jiang - **组织**:海南大学网络空间安全学院 --- 请注意,实际操作应遵循相关法律法规并仅能在授权环境下进行测试。
标题: Login required -- 🔗来源链接
标签:signaturepermissions-required
神龙速读:``` ### 关键漏洞信息 - **漏洞名称**: PBRONG HRMS 1.0.1 /handler/recruitment.go updateRecruitmentById Cross Site Scripting - **漏洞编号**: - VDB-341755 - CVE-2026-1161 - GCVE-100-341755 - **漏洞类型**: Cross Site Scripting (XSS) - **访问要求**: 需要登录才能访问详细信息。 **注意**: 详细漏洞信息和可能的补丁需要登录后才能查看。 ```
标题: Submit #736510: Pbrong hrms 1.0.1 Stored Cross Site Scripting Vulnerability -- 🔗来源链接
标签:third-party-advisory
神龙速读:### 漏洞关键信息 - **标题**: Pbrong hrms 1.0.1 Stored Cross Site Scripting Vulnerability - **描述**: Pbrong/hrms 存在一个存储型跨站脚本漏洞。该漏洞是由于 `UpdateRecruitmentByld` 函数在 `hrms1.0.1/handler/recruitment.go` 中未对用户传递的参数进行过滤,导致系统能够解析 JavaScript,从而引发存储型跨站脚本漏洞。 - **来源**: [https://github.com/TheLiao233/cve/issues/1](https://github.com/TheLiao233/cve/issues/1) - **提交人**: Guozhao Liao (UID 94408) - **提交日期**: 2021/12/06 10:14 AM - **审核日期**: 2021/12/08 09:32 PM - **状态**: 已接受 - **VulDB 入口**: 341755 (pbrong hrms 1.0.1 /handler/recruitment.go UpdateRecruitmentByld 跨站脚本漏洞) - **积分**: 19
标题: CVE-2026-1161 pbrong hrms recruitment.go UpdateRecruitmentById cross site scripting -- 🔗来源链接
标签:vdb-entrytechnical-description
神龙速读:### 漏洞关键信息 #### 漏洞概述 - **CVE编号**: CVE-2026-1161 - **GCVE编号**: GCVE-100-341755 - **漏洞分类**: Cross Site Scripting (XSS) - **影响对象**: pbrrong hrms 1.0.1 - **影响函数**: `UpdateRecruitmentById` #### 影响评估 - **CVSS评分** - **CVSS v4**: 3.5 - **CVSS v3**: 3.3 - **CVSS v2**: 3.3 - **价格与CTI评分** - **当前漏洞利用价格**: $0-$5k - **CTI兴趣评分**: 3.46 #### 威胁情报 - **威胁类**: Cross site scripting - **CWE编号**: CWE-79 - **攻击利用成本**: 中 - **有效载荷预测**: - 当前价格估计:$0-$5k #### 时间线 - **披露日期**: 2026-01-18 - **首次创建日期**: 2026-01-18 - **最后更新日期**: 2026-01-19 #### 源资料参考 - **漏洞咨询来源**: Github.com (原始安全咨询信息) - **CVE与GCVE引用**: CVE https:// www.scip.ch/en/?labs.20161013
- https://nvd.nist.gov/vuln/detail/CVE-2026-1161
四、漏洞 CVE-2026-1161 的评论
暂无评论