CVE-2026-30082: Stored XSS in IngeStage Server Package List API

根据用户的要求，我需要从提供的网页截图中提取关于漏洞的关键信息，并用简洁的中文Markdown格式进行总结。 1. 漏洞概述 (Vulnerability Overview): 标题: Stored Cross-site Scripting (XSS) vulnerabilities in the Edit feature of the Software Package List page of IngeStage Server 描述: 这是一个存储型跨站脚本（XSS）漏洞，存在于IngeStage Server软件包列表页面的编辑功能中。 攻击原理: 攻击者可以在API端点 中注入XSS payload。具体来说，是在 , , 或 参数中注入。一旦注入，恶意的JavaScript代码会被保存在服务器上，并在其他用户查看这些部分时自动执行。 后果: 攻击者可以执行任意JavaScript代码，导致会话劫持、凭证窃取，或在受害者浏览器上执行未经授权的操作。 2. 影响范围 (Affected Scope): 受影响版本: IngeStage Server - 11.1.4.0 受影响API: 3. 修复方案 (Fix/Mitigation): 截图中没有明确提到具体的修复补丁版本或官方修复方案。通常这意味着需要等待厂商更新或采取临时缓解措施（如过滤输入）。 4. POC/利用代码 (POC/Exploit Code): 截图中没有提供具体的代码块（如Python脚本或具体的Payload字符串），只描述了攻击原理和API端点。 但是，有一个API请求的描述： 。这可以被视为利用路径的一部分。 5. 其他信息: 发现者: Long Dang Hoang of Secambank CVE编号: CVE-2026-30082 (虽然截图顶部显示的是这个，但看起来像是个未来的年份或者占位符，不过我会照实记录)。 总结构建: 标题: CVE-2026-30082: IngeStage Server 存储型XSS漏洞 概述: 在IngeStage Server的软件包列表页面编辑功能中存在存储型XSS漏洞。攻击者可通过特定API注入恶意脚本。 影响版本: IngeStage Server 11.1.4.0 利用方式: 攻击者需先访问软件包列表页面，然后通过API端点 在 , , 或 参数中注入XSS payload。 POC/代码: 截图中未提供完整代码块，仅提及了受影响的API请求路径。 现在，我将把这些信息整理成最终的Markdown格式。 CVE-2026-30082: IngeStage Server 存储型XSS漏洞 漏洞概述 IngeStage Server 的软件包列表（Software Package List）页面的编辑功能中存在存储型跨站脚本（XSS）漏洞。攻击者可以在特定的API端点中注入XSS payload。一旦注入，恶意的JavaScript代码会被保存在服务器上，并在其他用户查看相关部分（如“About application”、“What's new”或“Release note”）时自动执行。这可能导致会话劫持、凭证窃取或在受害者浏览器上执行未经授权的操作。 影响范围 受影响产品: IngeStage Server 受影响版本: 11.1.4.0 受影响API: 修复方案 截图中未提供具体的官方修复补丁或版本信息。建议关注厂商更新或采取输入过滤等临时缓解措施。 POC/利用代码 截图中未提供完整的利用脚本代码，但指出了利用路径和参数： API端点: 注入参数: , , 请求方法: 发现者 Long Dang Hoang of Secambank

目標達成すべての支援者に感謝 — 100%達成しました！

CVE-2026-30082: Stored XSS in IngeStage Server Package List API

このソースからの他の記事

目標達成 すべての支援者に感謝 — 100%達成しました！

CVE-2026-30082: Stored XSS in IngeStage Server Package List API

このソースからの他の記事

目標達成すべての支援者に感謝 — 100%達成しました！