漏洞概述 漏洞名称: Lightweight Music Server 3.76.0 Stored XSS via Media File Metadata Tags CVE编号: CVE-2026-48559 CWE编号: CWE-79 Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') CVSS评分: 5.1 CVSS V4 Vector: CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:R/VC:N/VI:N/VA:N/SC:N/SI:L/SA:N 发布日期: 6/1/2026 严重程度: MEDIUM 影响范围 受影响版本: Lightweight Music Server <= 3.76.0 具体影响: 攻击者可以通过在媒体文件元数据标签(如GENRE、ARTIST或ALBUM)中嵌入恶意HTML,导致存储型跨站脚本攻击。当用户访问受感染的媒体文件时,恶意脚本将在Web界面中自动执行。 修复方案 修复状态: 受影响版本范围未定义 参考链接: - Zero Science Lab Advisory (ZSL-2026-5987) - GitHub Issue - 3.77.0 Milestone 描述 Lightweight Music Server (LMS) 3.76.0 版本存在一个存储型跨站脚本漏洞,允许攻击者通过在媒体文件元数据标签中嵌入恶意HTML来执行任意JavaScript。攻击者可以将包含恶意内容的媒体文件引入受害者的库中,导致在库扫描和自动执行时保存有效载荷。由于在 中使用 而没有进行 sanitization,标签内容将在Web界面中渲染。 POC代码 页面中未提供具体的POC代码或利用代码。 其他信息 报告来源: Zero Science Lab 贡献者: LiquidWorm as Gjoko Krstic of Zero Science Lab --- 总结: 该漏洞是一个存储型跨站脚本漏洞,影响Lightweight Music Server 3.76.0及以下版本。攻击者可以通过在媒体文件元数据中嵌入恶意HTML来执行跨站脚本攻击。目前尚未提供具体的修复版本,建议关注后续更新。