根据用户的要求,我需要从提供的网页截图中提取关于漏洞的关键信息,并用简洁的中文Markdown格式进行总结。 1. 漏洞概述 (Vulnerability Overview): 标题: Stored Cross-site Scripting (XSS) vulnerabilities in the Edit feature of the Software Package List page of IngeStage Server 描述: 这是一个存储型跨站脚本(XSS)漏洞,存在于IngeStage Server软件包列表页面的编辑功能中。 攻击原理: 攻击者可以在API端点 中注入XSS payload。具体来说,是在 , , 或 参数中注入。一旦注入,恶意的JavaScript代码会被保存在服务器上,并在其他用户查看这些部分时自动执行。 后果: 攻击者可以执行任意JavaScript代码,导致会话劫持、凭证窃取,或在受害者浏览器上执行未经授权的操作。 2. 影响范围 (Affected Scope): 受影响版本: IngeStage Server - 11.1.4.0 受影响API: 3. 修复方案 (Fix/Mitigation): 截图中没有明确提到具体的修复补丁版本或官方修复方案。通常这意味着需要等待厂商更新或采取临时缓解措施(如过滤输入)。 4. POC/利用代码 (POC/Exploit Code): 截图中没有提供具体的代码块(如Python脚本或具体的Payload字符串),只描述了攻击原理和API端点。 但是,有一个API请求的描述: 。这可以被视为利用路径的一部分。 5. 其他信息: 发现者: Long Dang Hoang of Secambank CVE编号: CVE-2026-30082 (虽然截图顶部显示的是这个,但看起来像是个未来的年份或者占位符,不过我会照实记录)。 总结构建: 标题: CVE-2026-30082: IngeStage Server 存储型XSS漏洞 概述: 在IngeStage Server的软件包列表页面编辑功能中存在存储型XSS漏洞。攻击者可通过特定API注入恶意脚本。 影响版本: IngeStage Server 11.1.4.0 利用方式: 攻击者需先访问软件包列表页面,然后通过API端点 在 , , 或 参数中注入XSS payload。 POC/代码: 截图中未提供完整代码块,仅提及了受影响的API请求路径。 现在,我将把这些信息整理成最终的Markdown格式。 CVE-2026-30082: IngeStage Server 存储型XSS漏洞 漏洞概述 IngeStage Server 的软件包列表(Software Package List)页面的编辑功能中存在存储型跨站脚本(XSS)漏洞。攻击者可以在特定的API端点中注入XSS payload。一旦注入,恶意的JavaScript代码会被保存在服务器上,并在其他用户查看相关部分(如“About application”、“What's new”或“Release note”)时自动执行。这可能导致会话劫持、凭证窃取或在受害者浏览器上执行未经授权的操作。 影响范围 受影响产品: IngeStage Server 受影响版本: 11.1.4.0 受影响API: 修复方案 截图中未提供具体的官方修复补丁或版本信息。建议关注厂商更新或采取输入过滤等临时缓解措施。 POC/利用代码 截图中未提供完整的利用脚本代码,但指出了利用路径和参数: API端点: 注入参数: , , 请求方法: 发现者 Long Dang Hoang of Secambank