漏洞概述 漏洞名称: Lyriion Music Server 9.2.0 未认证的存储型跨站脚本(XSS)漏洞 CVE编号: CVE-2026-50231 CWE编号: CWE-79 不当输入中和(跨站脚本) CVSS评分: 5.1 CVSS向量: CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:P/VC:N/VI:N/VA:N/SC:N/SI:L/SA:N 发布日期: 2026年6月5日 严重程度: 高 影响范围 受影响版本: Lyriion Music Server <= 9.2.0 修复方案 描述: Lyriion Music Server 9.2.0 在日志查看器中存在一个未认证的存储型跨站脚本漏洞。攻击者可以通过利用未转义的模板变量,在搜索、行和路径查询参数中注入恶意脚本,或通过构造值(如URLs、User-Agent头、流标题或玩家名称)来执行任意脚本。 参考: Zero Science Lab Disclosure 信用: LiquidWorm as Gjoko Krstic of Zero Science Lab POC代码或利用代码 页面中未包含具体的POC代码或利用代码。 其他信息 平台: VulnCheck 功能: 提供漏洞情报和威胁情报,帮助优先处理和修复漏洞。 特色: - 漏洞优先级排序 - 早期预警系统 总结 Lyriion Music Server 9.2.0 存在一个未认证的存储型跨站脚本漏洞,影响版本为 <= 9.2.0。攻击者可以通过未转义的模板变量注入恶意脚本。建议尽快更新到最新版本以修复此漏洞。