关键漏洞信息 漏洞名称: XSS with param 严重性: Critical (CVSS: 9.3/10) CVE ID: CVE-2026-23840 CVSS v3 Base Metrics: - Attack Vector: Network - Attack Complexity: Low - Privileges Required: None - User Interaction: Required - Scope: Changed - Confidentiality: High - Integrity: High - Availability: None 受影响版本: <= 0.69.0 Latest 已修复版本: None 漏洞描述 由于输入验证不足,攻击者可以触发XSS载荷。易受攻击的参数是 。 细节与PoC 复现步骤: 使用下方提供的PoC部分中的有效载荷查看触发的XSS。 有效载荷示例: - - 提议修复 对提到的输入/参数进行清理/净化。 弱点 CWE-20: 不正确的输入验证 CWE-79: Web页面生成期间输入中和不当 影响 反射型跨站脚本(XSS)是一种客户端输入验证漏洞,允许攻击者在其他用户查看的网页中注入恶意JavaScript。 当用户提供的输入在未经适当清理或编码的情况下立即包含在服务器响应中时就会发生。这种影响主要影响最终用户,因为攻击者可以窃取会话cookie、代表用户执行未经授权的操作,或者在其浏览器中显示欺骗性内容。 参考资料 OWASP Cheat Sheet: Cross-Site Scripting Prevention Cheat Sheet OWASP XSS: Cross-Site Scripting CWE-79: Improper Neutralization of Input During Web Page Generation CWE-20: Improper Input Validation