漏洞关键信息 漏洞名称: Stored XSS via Family Name in Product Form CVE ID: CVE-2026-25594 影响版本: <=1.7.0 修复版本: 无 CVSS 3.1 分数: 4.8 (中等) 漏洞描述: InvoicePlane 1.7.0 及以下版本中存在存储型跨站脚本 (XSS) 漏洞,可通过 Family Name 字段注入恶意 JavaScript。当任何管理员查看产品创建或编辑表单时,该脚本将执行。 受影响文件: application/modules/products/views/form.php (第 40 行) 问题代码: 问题详情: family_name 的值在产品表单的家庭下拉框中未进行 HTML 编码后再渲染。当管理员创建一个具有恶意名称的家庭时,该载荷将在访问产品表单的任何管理员的浏览器中执行。 影响 所有 InvoicePlane 1.7.0 安装 (及可能的早期版本) 都受到影响。该漏洞需要管理员权限来注入并触发其他管理员的浏览器 (admin-to-admin 攻击)。攻击者可以窃取 CSRF 令牌、冒充受害管理员执行操作,或注入钓鱼内容。 证明概念 (PoC) 1. 导航到 /index.php/families/form 2. 在 Family Name 字段中输入 3. 保存家庭信息 4. 导航到 /index.php/products/form 5. 当家庭下拉框渲染时触发 XSS