漏洞概述 HCL Digital Experience 和 Digital Experience Compose 可能受到多个漏洞的影响。具体包括: 1. CVE-2026-21827 - 描述: HCL Digital Experience 受到一个 OS 命令注入漏洞的影响,该漏洞位于 Digital Asset Management API 中。攻击者可以执行任意操作系统命令,通常通过注入漏洞应用程序的权限,可能导致对完整系统服务器和数据控制的完全控制。 - CVSS 基础评分: 9.7 - CVSS 向量: CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/SC:H/S:C/N:H/I:H/A:H 2. CVE-2026-21826 - 描述: HCL Digital Experience 和 HCL Digital Experience Compose 可能受到主机头注入的影响。攻击者可以操纵主机头并导致应用程序以意外方式行为。 - CVSS 基础评分: 6.1 - CVSS 向量: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N 3. CVE-2026-21825 - 描述: HCL Digital Experience Compose 受到一个反射型跨站脚本(XSS)漏洞的影响,该漏洞位于搜索中心。攻击者可以在受害者的浏览器中执行任意 JavaScript。 - CVSS 基础评分: 6.1 - CVSS 向量: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N 4. CVE-2026-2359 - 描述: Multer 版本 2.1.0 之前存在一个漏洞,允许攻击者在文件上传期间触发拒绝服务(DoS)。用户应升级到版本 2.1.0 以接收补丁。目前没有已知的工作区。 影响范围 HCL Digital Experience 和 HCL Digital Experience Compose 可能受到上述多个漏洞的影响。 具体影响包括: - 操作系统命令注入 - 主机头注入 - 反射型跨站脚本(XSS) - 拒绝服务(DoS) 修复方案 CVE-2026-21827, CVE-2026-21826, CVE-2026-21825: 需要关注 HCL 官方发布的补丁或更新,以修复这些漏洞。 CVE-2026-2359: 升级到 Multer 版本 2.1.0 或更高版本。 POC 代码或利用代码 页面中未提供具体的 POC 代码或利用代码。