CVE-2026-29971 漏洞总结 漏洞概述 漏洞名称: CVE-2026-29971 漏洞类型: 反射型跨站脚本 (Reflected Cross-Site Scripting, XSS) 受影响产品: WebFileSys 受影响版本: 2.31.1 漏洞描述: WebFileSys 版本 2.31.1 中存在反射型跨站脚本漏洞。用户可控的输入被反射到 HTML 和 JavaScript 上下文中,且未进行适当的输出编码,导致攻击者可以在受害者浏览器中执行任意 JavaScript 代码。 影响范围 潜在后果: 会话劫持 (Session hijacking) 凭证窃取 (Credential theft) 在已认证会话中执行未授权操作 受影响组件: ftpBackup 功能 认证输入处理 搜索功能 错误消息渲染 修复方案 状态: 页面显示 "No releases published"(无发布版本),且未提供具体的补丁下载链接或代码修复方案。 建议: 建议用户升级至修复后的版本(如果存在),或对受影响组件(如搜索、认证输入等)进行严格的输入验证和输出编码处理。 POC / 利用代码 复现步骤: 1. 导航到 WebFileSys 登录页面。 2. 在受影响参数中注入以下 Payload。 3. 提交请求。 4. Payload 将被反射并在浏览器中执行。 示例 Payload: