目录
2026 年 6 月 8 日,国家信息安全漏洞共享平台(cnvd)收录了 kuicms php ee 的一个跨站脚本漏洞(cve-2020-37222)。kuicms php ee 是一套基于 php 的内容管理系统,适用于企业网站、个人博客等。该漏洞影响 2.0 版本,攻击者可通过在 bbs 回复端点提交特制内容,注入恶意脚本,导致管理员 cookie 被窃取、页面被篡改等后果。目前官方尚未发布修复补丁,建议使用该系统的站长立即关闭评论功能,或部署 web 应用防火墙进行临时防护。
一、 漏洞核心信息
| 项目 | 详情 |
|---|---|
| cnvd 编号 | cnvd-2026-23406 |
| cve 编号 | cve-2020-37222 |
| 公开日期 | 2026-06-08 |
| 危害级别 | 中(av:n/ac:l/au:n/c:p/i:p/a:n) |
| 漏洞类型 | 跨站脚本(xss) |
| 影响产品 | kuicms php ee 2.0 |
| 攻击条件 | 无需认证(au:n),远程利用 |
| 官方补丁 | 暂无(厂商尚未提供修复方案) |
| 验证信息 | 已验证(漏洞真实存在) |
kuicms php ee 的 bbs(论坛)模块在输出用户回复内容时未进行充分的过滤和转义,导致存储型 xss。
二、 漏洞原理与危害
2.1 漏洞成因
该系统在处理用户提交的论坛回复时,直接将输入内容存入数据库,并在页面渲染时未进行 html 实体编码或上下文转义。攻击者可以在回复中插入 或类似的恶意载荷。当其他用户(尤其是管理员)查看该帖子时,恶意脚本在受害者浏览器中执行。
2.2 攻击链路
- 攻击者在网站的 bbs 模块发表一条包含恶意 javascript 代码的回复。
- 恶意代码被存储在数据库中。
- 管理员或普通用户访问该帖子页面时,恶意代码被自动执行。
- 攻击者可窃取管理员的会话 cookie,进而伪造身份执行后台操作(如创建管理员账号、篡改网站内容)。
2.3 危害评估
- 会话劫持:窃取管理员 cookie,直接接管网站后台。
- 钓鱼攻击:在页面中注入虚假登录框,骗取用户账号密码。
- seo 污染:插入隐藏黑链或垃圾关键词,导致搜索引擎降权。
- 持久化威胁:恶意代码永久存储在数据库中,影响所有访问者。
三、 影响范围与修复状态
- 受影响版本:kuicms php ee 2.0(以及可能更早版本)。
- 安全版本:官方尚未发布任何补丁。该 cms 已停止维护,建议迁移至活跃的项目。
- 建议:如果仍在使用该系统,应立即关闭 bbs(论坛)功能,或整体替换为安全的内容管理系统。
四、 站长应急行动指南
4.1 立即禁用评论/论坛模块(最快)
在 kuicms 后台关闭 bbs 功能,或直接删除相关文件目录(如 /bbs/)。如果网站不需要互动功能,这是最彻底的临时方案。
4.2 手动清理已存在的恶意脚本
- 登录数据库,查看
comment或reply表,检查是否有异常内容(如包含 - 使用 sql 语句批量删除或转义危险字符。
4.3 迁移至仍在维护的 cms(长期方案)
kuicms 已停止更新,建议尽快迁移至安全、活跃的开源 cms:
- wordpress(插件丰富,安全响应快)
- typecho(轻量,适合博客)
- z-blog(国产,简洁易用)
4.4 部署 web 应用防火墙(临时防护)
对于暂时无法迁移或禁用评论的场景,可通过 web 应用防火墙(waf)拦截 xss 攻击载荷。百度云防护 waf 内置了 xss 检测规则(属于基础防护引擎),可以:
- 识别并阻断包含