CVE-2026-38948 漏洞总结 漏洞概述 漏洞名称:FUEL CMS 1.5.2 存储型跨站脚本 (Stored XSS) 导致管理员账户接管 CVE ID:CVE-2026-38948 严重程度:7.1 High 漏洞类型:存储型跨站脚本 (Stored XSS) 利用原理:经过身份验证的低权限用户可以在资产上传功能中上传包含嵌入式 JavaScript 的恶意 SVG 文件。当管理员打开或预览该文件时,脚本在管理员的浏览器会话中执行,从而窃取 CSRF 令牌并修改敏感账户设置(如用户名、邮箱和密码),最终导致管理员账户被完全接管。 影响范围 受影响产品:FUEL CMS 受影响版本:1.5.2 及以下版本 修复方案 官方链接:https://github.com/daylightstudio/FUEL-CMS 厂商网站**:https://www.getfuelcms.com/ POC 代码