漏洞概述
VestaCP 是一款开源的 Web 控制面板,用于管理网站、邮箱、数据库等服务。CVE-2021-47873 指出,VestaCP 在 0.9.8-25 版本之前存在一个存储型跨站脚本(Stored XSS)漏洞,攻击者可通过向 /add/ip/ 接口发送特制的 POST 请求,在 IP 接口配置中注入恶意脚本,从而在受害者浏览器中执行任意 JavaScript 代码。
漏洞详情
- CVE 编号:CVE-2021-47873
- 漏洞类型:存储型跨站脚本(Stored Cross-Site Scripting,CWE-79)
- CVSS 评分:CVSS 3.1 基础评分为 7.2(HIGH);CVSS 4.0 基础评分为 5.1(MEDIUM)
- 影响版本:VestaCP 0.9.8-25 之前的版本
影响范围
所有使用 VestaCP 且版本低于 0.9.8-25 的系统均受此漏洞影响,特别是那些允许低权限用户访问 IP 接口配置功能的部署环境。
风险分析
该漏洞允许未经身份验证的远程攻击者通过构造恶意请求,将 XSS 脚本持久化存储于服务器端。当管理员或其他用户访问受影响页面时,恶意脚本将在其浏览器中自动执行,可能导致会话劫持、钓鱼攻击、敏感信息泄露或进一步的客户端攻击。由于 CVSS 3.1 评分为 7.2(高危),且无需用户交互(UI:N)、攻击复杂度低(AC:L),该漏洞具有较高的可利用性。
修复建议
- 立即升级 VestaCP 至 0.9.8-25 或更高版本,以修复该 XSS 漏洞。
- 若无法立即升级,建议临时限制对
/add/ip/等管理接口的访问权限,仅允许可信 IP 或高权限用户操作,并对用户输入进行严格的过滤与转义。
