根据用户的要求,我需要从提供的网页截图中提取关于漏洞的关键信息,并用简洁的中文markdown格式进行总结。 1. 漏洞概述 (Vulnerability Overview): 标题: CASDOOR 2.356.0 DANGEROUSLYSETINNERHTML FORMCSS/FORMCSSMOBILE/FORMSIDEHTML CROSS SITE SCRIPTING 漏洞类型: 跨站脚本 (Cross Site Scripting - XSS) CVSS 评分: 3.2 (低危/中等,取决于具体标准,但数值较低) 当前利用价格: $0-$5k CTI 兴趣分数: 1.51 CVE 编号: CVE-2026-5468 (注意:这个CVE编号看起来像是未来的或者虚构的,因为年份是2026,但这正是截图显示的内容,我需要如实记录) 描述: 漏洞存在于 Casdoor 2.356.0 版本中,被归类为“problematic”(有问题)。它影响了 函数。操纵 、 或 参数可能导致跨站脚本攻击。该漏洞可远程触发,且存在利用代码(exploit)。 2. 影响范围 (Impact/Scope): 受影响产品: Casdoor 受影响版本: 2.356.0 受影响函数: 受影响参数: , , 攻击方式: 远程 (Remote) 用户交互: 需要用户交互 (User interaction required) MITRE ATT&CK 技术: T1565.007 (Server-Side Template Injection - 虽然截图里写的是T1565.007,但标题说是XSS,这有点矛盾,不过我会照实记录截图内容) 3. 修复方案 (Remediation): 截图中没有明确提到具体的修复补丁或升级版本。 提到厂商在披露早期被联系过,但没有回应。 提到产品没有正确中和或未知用户输入的可控脚本。 4. POC/利用代码 (POC/Exploit Code): 截图中没有包含具体的代码块。虽然文字描述提到了“exploit is present”(存在利用代码)和“public exploit are known”(已知公开利用代码),但截图本身并没有展示代码内容。因此,我无法提取代码块。 5. 总结构建: 将上述信息整合成简洁的中文markdown。 确保包含漏洞名称、CVE、受影响版本、描述、影响范围。 说明没有看到具体的POC代码。 Drafting the response: 标题: Casdoor 2.356.0 跨站脚本漏洞 (CVE-2026-5468) 概述: 这是一个影响 Casdoor 2.356.0 的跨站脚本 (XSS) 漏洞。 详情: 漏洞源于 函数未正确处理 、 和 参数。 影响: 攻击者可远程利用此漏洞,需要用户交互。 修复: 截图中未提供具体修复方案,仅提到厂商未回应。 代码: 截图中未包含具体代码。 Let's refine the "Remediation" part. The text says "The product does not neutralize or incorrectly neutralizes user-controllable input...". This is the root cause, not the fix. The fix would be to neutralize input. I will state that no specific fix is listed. Final check of the CVE number: CVE-2026-5468. This is definitely a future date or a typo in the source site, but I must transcribe what is there. Final check of the title: "CASDOOR 2.356.0 DANGEROUSLYSETINNERHTML FORMCSS/FORMCSSMOBILE/FORMSIDEHTML CROSS SITE SCRIPTING". Okay, ready to generate the output. 漏洞总结:Casdoor 2.356.0 跨站脚本漏洞 (CVE-2026-5468) 漏洞概述 漏洞名称: Casdoor 2.356.0 dangerouslySetInnerHTML formCss/formCssMobile/formSideHtml Cross Site Scripting CVE 编号: CVE-2026-5468 CVSS 评分: 3.2 漏洞类型: 跨站脚本 (XSS) 描述: 该漏洞存在于 Casdoor 2.356.0 版本中。由于 函数未正确中和(neutralize)用户可控的输入,导致 、 或 参数被操纵时,可能引发跨站脚本攻击。该漏洞可被远程利用,且已知存在公开利用代码。 影响范围 受影响产品: Casdoor 受影响版本: 2.356.0 受影响组件/函数: 受影响参数: , , 攻击条件: 需要用户交互 (User interaction required) MITRE ATT&CK 技术: T1565.007 修复方案 截图中未提供具体的修复补丁或升级版本建议。 文中提到厂商在披露早期被联系过,但未做出任何回应。 根本原因在于产品未能正确中和用户可控的脚本输入。 POC/利用代码 截图中未包含具体的 POC 代码或利用代码块,仅文字描述提到“exploit is present”(存在利用代码)。