漏洞关键信息 漏洞编号 CVE-2026-26724 漏洞描述 类型: Global Facilities Management Software Stored Cross-Site Scripting (XSS) 厂商: Key Systems Inc. 影响的产品: Global Facilities Management Software 受影响的资产: 易受攻击的版本: 20230721a 修复版本: N/A 研究员: Chandler Johnson NIST CVE 链接: https://nvd.nist.gov/vuln/detail/CVE-2026-26724 CVSS 评分 向量: - AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:L/A:N 评分: 7.1 (高) 影响 注入恶意的 JavaScript 可以导致未经授权访问用户会话、恶意软件检索和数据盗窃。 复现步骤 1. 登录到 Global Facilities Management System 网络应用。 2. 通过导航到面板验证 GFMS 版本。 3. 导航到 Groups ( )。 4. 导航到 Edit Group Settings,并将 Group Name 设置为基本 XSS 负载,如 。 5. 点击 Update 按钮发送请求。 6. 观察新的 在 HTML 中的 JavaScript 执行情况。 附带信息 攻击者通过将恶意脚本注入到 Web 应用程序的数据库或服务器端存储中来利用存储型跨站脚本,当用户查看受影响的页面时,这些脚本被发送到用户的浏览器上自动执行,并允许攻击者窃取会话 Cookie、以用户身份执行未经授权的操作、提供危险文件和收集敏感数据。 建议措施 使用能自动转义内容的模板引擎。 实施严格的输入验证和清理。 对显示在网页上的所有用户输入都要进行适当的输出编码和转义。 资源 https://cheatsheetseries.owasp.org/cheatsheets/Cross_Site_Scripting_Prevention_Cheat_Sheet.html https://owasp.org/www-community/attacks/xss/ https://cwe.mitre.org/data/definitions/79.html