从这个网页截图中可以获取到关于漏洞的关键信息如下: 漏洞详情: 标题: - SPIP < 4.4.8 Cross-Site Scripting via Iframe Tags in Private Area 严重性 (SEVERITY): - MEDIUM 日期 (DATE): - 2/19/2026 CVE号: - CVE-2026-26223 CWE号: - CWE-79 Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') Version: - SPIP <= 4.4.0 CVSS V4 VECTOR: - CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:P/VC:L/V:I/L/VA:N/SC:L/SI:L/SA:N 参考文献 (REFERENCES): https://blog.spip.net/Mise-a-jour-de-securite-sortie-de-SPIP-4-4-8.html https://git.spip.net/spip/spip 贡献者 (CREDIT): Arthur Deloffre (Vozec), Louka Jacques-Chevallier (Laluka), Philippe Boussin 描述: SPIP在4.4.8之前的版本允许在私有区域通过恶意的iframe标签实现跨站脚本攻击(XSS)。应用并未正确对后端iframe的内容进行沙箱处理或转义,这使得攻击者能够注入和执行恶意脚本。修复方法是在私有区域内的iframe标签中添加沙箱属性。此漏洞并未受到SPIP安全屏障的缓解。