漏洞概要 漏洞类型: 存储型跨站脚本(XSS) 影响版本: InvoicePlane 1.7.0 修复版本: 无 严重性: 中等(5.7/10) CVE ID: CVE-2026-24746 发布日期: 5天前 报告者: Nguyen Truong Son (truongson526@gmail.com) 漏洞描述 摘要 在InvoicePlane 1.7.0的编辑报价功能中存在存储型XSS漏洞。尽管需要管理员权限来利用此漏洞,但它仍然被视为一个关键漏洞,因为它可能会导致未经授权修改应用程序数据、通过存储恶意脚本创建持久性后门以及完全破坏应用程序的完整性。 详细信息 发生位置: 编辑报价功能 问题: 应用程序未对 参数的用户输入进行验证 当通过 请求提交数据时,如果包含以下参数,将触发漏洞: 证明示例(PoC) 1. 在编辑报价功能中,将以下payload输入到Quote #框中 2. 点击保存后,将出现一个警报对话框 影响 数据暴露和完整性损失:读取/修改用户数据、更改账户设置、添加后门管理员等 应用程序完整性受损 建议 对所有用户控制的数据实施适当的输出编码(例如,htmlspecialchars、上下文感知编码)以在渲染到浏览器之前处理数据 在服务器端验证和清理输入数据,包括长度、类型和允许的字符(尽可能使用白名单) 使用集中化的转义库或安全的模板引擎,该引擎默认自动转义输出 强制执行严格的内容安全策略(CSP),以限制内联脚本的执行并限制受信脚本源