Postiz-app Unauthenticated File Upload Leading to Stored XSS (CVE-2026-40487)

漏洞总结：Postiz-app 未授权文件上传导致存储型 XSS 漏洞概述 CVE-2026-40487 严重程度: 8.9/10 (High) 发布日期: 2024年4月 影响版本: = v2.21.6 核心问题 通过 MIME 类型欺骗实现未授权文件上传，导致存储型跨站脚本攻击（Stored XSS）。攻击者可上传任意 HTML、SVG 或其他可执行文件类型，利用服务器对 头的信任漏洞，结合 Nginx 基于文件扩展名的 MIME 类型处理，最终在受害者浏览器中执行恶意 JavaScript。 技术细节 1. 客户端 MIME 类型验证绕过 仅检查 HTTP 客户端提供的 字段，可被轻易伪造。 2. 原始文件名保留在磁盘 文件保存时使用原始文件名（如 ），而非验证后的 MIME 类型。 3. Nginx 基于扩展名的 Content-Type 服务 Nginx 配置根据文件扩展名自动设置 ，导致 、 等文件被浏览器当作可执行脚本处理。 --- 影响范围 攻击前提: 需要已认证用户账户 攻击效果: - 存储型 XSS 持久化 - 会话劫持、账户接管 - 数据泄露（用户资料、API 密钥、社交媒体集成令牌等） - 组织管理权限提升（通过邀请链接） 影响组件: - 用户认证系统 - 文件上传功能 - Nginx 静态文件服务 --- 修复方案 升级到 v2.21.6 或更高版本。 --- POC 代码 步骤1：注册并获取认证 Cookie 步骤2：上传恶意 SVG 文件 步骤3：受害者访问 URL --- 利用工具代码（Account Takeover via add-admin） 完整利用脚本 关键利用逻辑 --- 影响说明 存储型 XSS: 恶意脚本持久化存储在服务器上，每次受害者访问都会执行 会话劫持: 利用 自动携带 Cookie 的特性，无需直接读取 Cookie 数据泄露: 可获取用户资料、API 密钥、社交媒体集成令牌、组织设置等敏感信息 权限提升: 通过邀请链接将攻击者添加为组织管理员，获得完全控制权限 JWT 无过期: 应用使用无 声明的 JWT，令牌永不过期，攻击可持续进行

目標達成すべての支援者に感謝 — 100%達成しました！

Postiz-app Unauthenticated File Upload Leading to Stored XSS (CVE-2026-40487)

このソースからの他の記事

目標達成 すべての支援者に感謝 — 100%達成しました！

Postiz-app Unauthenticated File Upload Leading to Stored XSS (CVE-2026-40487)

このソースからの他の記事

目標達成すべての支援者に感謝 — 100%達成しました！