漏洞概述
近日,安全研究人员发现 code-projects 开发的 Online Examination System 1.0 版本中存在一个跨站脚本(XSS)漏洞。该漏洞位于“Add Pages”组件的某个未知功能中,攻击者可远程利用此漏洞,在用户浏览器中执行恶意脚本,从而窃取会话信息或进行钓鱼攻击。目前,该漏洞的利用代码已公开披露,存在被实际攻击的风险。
漏洞详情
- CVE 编号:CVE-2026-1421
- 漏洞类型:跨站脚本(Stored XSS),CWE-79 / CWE-94
- CVSS 评分:CVSS v3.1 基础分 3.5(低危),CVSS v4.0 基础分 5.1(中危)
- 影响版本:code-projects Online Examination System 1.0
影响范围
该漏洞影响使用 code-projects 提供的 Online Examination System 1.0 的所有部署实例。特别是允许低权限用户通过“Add Pages”功能提交内容的系统,若未对输入内容进行有效过滤和转义,将面临 XSS 攻击风险。
风险分析
攻击者可利用该漏洞注入恶意 JavaScript 代码,当管理员或其他用户访问被污染的页面时,脚本将在其浏览器中执行。这可能导致会话 Cookie 被窃取、账户被接管、页面内容被篡改,或作为进一步社会工程攻击的跳板。由于漏洞利用需用户交互(如点击链接或访问特定页面),且攻击者需具备低权限账户,整体风险为中等,但因利用代码已公开,实际攻击可能性较高。
修复建议
- 建议用户立即停止使用受影响版本,并关注官方是否发布安全更新。截至当前,官方尚未提供补丁。
- 作为临时缓解措施,应对所有用户输入内容进行严格的 HTML 转义和内容安全策略(CSP)限制,特别是在“Add Pages”功能中,禁止执行内联脚本。
