漏洞概述 Lyron Music Server 9.2.0 存在一个未认证的存储型跨站脚本(XSS)漏洞。该漏洞允许攻击者通过构造恶意请求参数(如URL、User-Agent、流标题、播放器名称等),将这些恶意内容注入到日志文件中,并在日志查看器中反射执行,从而导致XSS攻击。 影响范围 受影响版本:Lyron Music Server 9.2.0 测试环境:Windows 10 (64-bit) - EN, Lyron Music Server (9.2.0 - 1779973211), Perl/5.32.1, SQLite CVE编号:CVE-2026-50231 修复方案 发布日期:2026年6月5日 修复状态:供应商正在修复并加强安全默认设置。 参考链接:CVE-2026-50231 概念验证(POC)代码 时间线 27.05.2026:发现漏洞。 26.05.2026:联系供应商。 20.05.2026:供应商回应并要求更多细节。 31.05.2026:发送详细信息给供应商。 31.05.2026:供应商正在修复并加强安全默认设置。 02.06.2026:回复供应商。 06.06.2026:发布公共安全公告。 贡献者 漏洞发现者:Gjoko Krstic 参考链接 CVE-2026-50231 渠道 26.06.2026:初始发布