漏洞总结:Vvweb CMS 存储型跨站脚本 (XSS) 漏洞 漏洞概述 标题:Stored Cross-Site Scripting via HTML File Upload Bypass 类型:存储型跨站脚本 (Stored XSS) 严重程度:High (高危) CVSS 评分:7.6 漏洞成因:Vvweb CMS 的媒体上传验证器使用黑名单机制,未能覆盖 文件。攻击者可以上传包含恶意 JavaScript 的 HTML 文件,服务器将其存储在 目录并以 类型返回,导致任何访问该 URL 的用户(包括未认证用户)都会执行恶意脚本。 影响范围 受影响版本:Vvweb CMS 1.0.8 (commit ) 修复版本:1.0.8.1 受影响端点: 上传: 服务: 权限要求:低(需要媒体上传权限的认证用户即可上传文件) 用户交互:需要(受害者需访问上传文件的 URL) 后果: 会话窃取 (Session theft) 钓鱼攻击 (Phishing) 驱动式下载 (Drive-by exfiltration) 持久化后门 (Persistent foothold) 链式攻击 (Chain pivot) 修复方案 已修复版本:升级到 Vvweb CMS 1.0.8.1 或更高版本。 根本原因:当前实现使用“拒绝列表”(deny list),仅阻止明确列出的文件类型,而 未被列入。 建议:应采用“允许列表”(allow list)模型,仅允许上传图像和文档等安全文件类型。 POC / 利用代码 1. 上传恶意 HTML 文件的 HTTP 请求 2. 服务器返回的 JSON 响应 3. 触发 XSS 的浏览器响应