漏洞关键信息 漏洞概述 漏洞类型: 存储型跨站脚本(Stored Cross-Site Scripting, XSS) 影响版本: InvoicePlane 1.7.0 修复版本: 无 漏洞标识符: GHSA-432m-jv69-qp5j CVE ID: CVE-2026-26270 漏洞详情 漏洞描述: 当具有管理发票组权限的认证用户在“Identifier Format”字段中注入恶意JavaScript时,存在一个存储型XSS漏洞。当任何用户查看发票列表或主仪表板时,该脚本会被执行。 漏洞原因: “Identifier Format”字段在渲染到应用程序UI之前,没有正确地对用户输入进行净化或转义。 攻击场景: 攻击者可以在发票组创建表单中的“Identifier Format”字段注入XSS有效载荷,如 {{id}}}alert('This is a Stored XSS')。 2. 创建新的发票,并将该发票与包含XSS有效载荷的发票组关联。 3. 提交并加载页面时,存储的XSS被触发。 4. 当导航到发票时,XSS被触发。 5. 当导航到仪表板时,有效载荷也可以被触发。 影响 可能允许攻击者: - 窃取其他用户(包括管理员)的会话Cookie。 - 代表其他用户执行未经授权的操作。 - 诽谤仪表板或将用户重定向到恶意网站。 CVSS v3 基础指标: - Severity: 中等 (5.4/10) - Attack Vector: 网络 - Attack Complexity: 低 - Privileges Required: 低 - User Interaction: 需要 - Scope: 已更改 - Confidentiality: 低 - Integrity: 低 - Availability: 无