CVE-2026-36341: Krayin CRM HTML注入/XSS漏洞总结 漏洞概述 Krayin CRM 存在存储型跨站脚本(XSS)漏洞。攻击者可在“Call”或“Meeting”等活动的说明栏中注入恶意 HTML/JavaScript 代码。由于系统未对输入进行转义,当管理员或经理查看该记录时,恶意脚本将在其浏览器中执行。 影响范围 受影响产品: Webkul Krayin CRM 受影响版本: Krayin CRM v2.1.6 及以下 受影响用户: 拥有管理权限的用户(管理员、经理) 潜在危害: 窃取管理员 Cookie 或会话令牌。 劫持管理员会话。 利用管理员权限执行恶意操作。 窃取 CRM 中的敏感业务数据(客户信息、销售记录等)。 修复方案 1. 升级系统: 将 Krayin CRM 升级至 v2.1.6 以上版本。 2. 输入转义: 在将用户输入显示到 HTML 页面之前,必须进行转义处理。 3. 使用自动转义引擎: 使用支持自动转义的模板引擎或框架。 4. 输入过滤: 如果业务需要允许部分 HTML,需严格过滤危险标签(如 )和事件属性(如 )。 5. 避免 innerHTML: 前端展示用户数据时,优先使用 而非 。 6. 安全处理存量数据: 对数据库中已存储的恶意数据进行清理。 7. 部署 CSP: 配置内容安全策略(Content Security Policy)以限制脚本执行。 验证代码 (PoC) 页面中未提供具体的代码块,但提供了验证步骤: 1. 在 Krayin CRM 中创建一个“Call”或“Meeting”记录。 2. 在“说明”(Description)字段中输入 HTML 标签或 JavaScript 代码(例如 )。 3. 保存记录。 4. 使用管理员或经理账号登录并查看该记录。 5. 如果脚本执行(如弹出警告框),则证明漏洞存在。