漏洞总结:Webkul Krayin CRM (CVE-2026-36341) 漏洞概述 漏洞名称:Webkul Krayin CRM 跨站脚本 (XSS) 漏洞 (HTML 注入) CVE 编号:CVE-2026-36341 漏洞描述:该漏洞存在于 Webkul Krayin CRM 中。攻击者可以通过在简单的“呼叫 (Call)”或“会议 (Meeting)”日志中注入恶意 Payload,从而针对高权限账户发起攻击,且无需与受害者进行直接交互。 影响范围 受影响组件:Webkul Krayin CRM 的管理面板 (Admin Panel)。 具体危害: 攻击者可以窃取用户会话 Cookie 并劫持账户。 恶意脚本可以在查看受影响页面的每个用户的浏览器中运行。 敏感数据(如令牌、个人信息)可以从受害者处提取。 攻击者可以在未经用户同意的情况下代表用户执行操作。 管理员账户如果查看恶意内容,可能会被攻破。 修复方案 在将用户输入渲染为 HTML 之前,始终对其进行转义。 使用自动转义模板引擎或框架。 如果允许使用 HTML,请对输入进行清理(例如,使用 DOMPurify)。 避免使用 处理用户数据;改用 。 永远不要信任存储的数据——将其视为不安全输出。 参考链接 漏洞报告:krayin/laravel-crm#2401 受影响版本:v2.1.6 视频 POC:https://cyberspool.co.jp/wp-content/uploads/2026/04/krayin-html-injection.mp4