关键信息 漏洞标题 XSS with param 严重性 CVSS v3 基础评分: 9.3/10 等级: Critical 受影响版本 <= 0.69.0 修复版本 0.70.0 漏洞描述 由于输入验证不足,攻击者可以触发XSS载荷。易受攻击的参数是: ?categoryUpdated= 复现步骤 使用下面PoC部分提供的载荷查看触发的XSS。 漏洞实例 解决建议 清理 / 过滤提到的输入 / 参数。 影响 反射型跨站脚本(XSS)是一种客户端输入验证漏洞,它允许攻击者在其他用户查看的网页中注入恶意JavaScript。当用户提供的输入未经适当清理或编码就立即包含在服务器响应中时就会发生这种情况。其影响主要影响最终用户,因为攻击者可以窃取会话cookies、冒充身份执行未经授权的操作,或在用户的浏览器中显示欺骗性内容。 CVSS v3 基础指标 攻击向量: Network 攻击复杂度: Low 所需特权: None 用户交互: Required 作用范围: Changed 机密性: High 完整性: High 可用性: None CVE ID CVE-2026-23839 弱点 CWE-20: 不当的输入验证 CWE-79: 网页生成中的输入处理不当时导致的代码注入(跨站脚本) 参考资料 https://cheatsheetseries.owasp.org/cheatsheets/Cross_Site_Scripting_Prevention_Cheat_Sheet.html https://owasp.org/www-community/attacks/xss/ https://cwe.mitre.org/data/definitions/79.html https://cwe.mitre.org/data/definitions/20.html