澳门凯发

ubidauction 跨站脚本漏洞(cnvd-澳门凯发

2026 年 6 月 15 日,国家信息安全漏洞共享平台(cnvd)收录了 ubidauction 的一个跨站脚本漏洞(cnvd-2026-24100)。攻击者无需任何身份认证,仅通过构造包含恶意脚本的 get 请求,即可在受害者浏览器中执行任意 javascript 代码,导致会话劫持、凭证窃取或钓鱼攻击。该漏洞影响 ubidauction 2.0.1 版本,涉及 auctions/manage、orders/myorders、tickets/manage 等多个管理模块的过滤器功能。目前厂商尚未发布修复补丁,使用该拍卖系统的网站应立即限制后台访问,并部署 百度云防护 waf 在网络层拦截恶意请求。


一、 漏洞核心信息

项目详情
cnvd 编号cnvd-2026-24100
cve 编号cve-2022-50968
cvss 3.1 评分5.4(中危)
漏洞类型反射型跨站脚本(reflected xss)
攻击向量网络远程利用,无需认证
用户交互需要(攻击者需诱骗受害者点击恶意链接)
影响产品ubidauction 2.0.1
受影响模块auctions/manage、orders/myorders、tickets/manage、news/manage、posts/manage、backend/mailinglog/manage 等
官方补丁暂无
poc/exp已公开,存在被利用风险

ubidauction 是 apphp 公司推出的一款商业 php 拍卖脚本,用于搭建在线拍卖和竞价交易网站。该漏洞影响其 2.0.1 版本,涉及多个后台管理模块的过滤器功能。


二、 漏洞原理:管理模块过滤器参数未过滤

2.1 漏洞产生原因

该漏洞源于 ubidauction 在 auctions/manage 等管理模块的过滤器功能中,对用户输入的 date_createddate_fromdate_tocreated_at 四个参数未进行充分的输入验证和输出编码。当攻击者向这些参数注入恶意脚本时,脚本会被直接反射回受害者浏览器并执行。

2.2 攻击链路

  1. 攻击者构造包含恶意 javascript 代码的 url,例如在 created_at 参数中注入
  2. 攻击者通过钓鱼邮件、社交工程等方式诱骗管理员或用户点击该链接。
  3. 受害者浏览器向服务器发送 get 请求,服务器将恶意脚本原样反射回响应页面。
  4. 恶意脚本在受害者浏览器中执行,可窃取 cookie、会话令牌或执行其他恶意操作。

2.3 攻击特点

  • 反射型 xss:恶意脚本不存储在服务器上,攻击者无需持久化 payload。
  • 无需认证:攻击者不需要任何账号即可发起攻击。
  • 多个模块受影响:除 auctions/manage 外,orders/myorders、tickets/manage、news/manage、posts/manage、backend/mailinglog/manage 等多个管理模块均存在相同问题。

三、 漏洞危害

危害类型具体后果
会话劫持窃取管理员 cookie 和会话令牌,冒充合法用户登录后台
凭证窃取通过伪造登录表单窃取管理员账号密码
钓鱼攻击在后台页面注入虚假内容,诱导管理员执行危险操作
权限提升利用管理员会话执行非授权操作,如创建管理员账号、篡改拍卖数据
数据泄露通过恶意脚本窃取后台显示的敏感数据(用户信息、订单记录等)

由于漏洞存在于后台管理模块,一旦管理员中招,攻击者可直接获得对拍卖系统的完全控制权。


四、 影响范围与官方状态

  • 受影响版本:ubidauction 2.0.1
  • 受影响模块至少 7 个管理模块的过滤器功能。
  • 官方状态厂商尚未提供漏洞修复方案。建议关注厂商澳门凯发主页获取更新信息。
  • poc 状态:漏洞利用代码已在 exploit-db 等平台公开,存在较大的被利用风险。

五、 修复与防护方案

5.1 官方补丁(待跟进)

目前厂商尚未发布修复补丁。建议站长关注 apphp 官方发布渠道,及时升级到修复版本。

5.2 临时缓解措施

措施操作说明
限制后台访问 ip在服务器或防火墙中配置 ip 白名单,仅允许可信 ip 访问 /admin 等后台路径从根本上减少攻击面
加强管理员安全意识提醒管理员不点击来源不明的链接,尤其注意包含 date_createdcreated_at 等参数的 url降低被钓鱼攻击的风险
监控后台访问日志定期检查后台日志,关注异常 get 请求及时发现可疑攻击尝试
部署 waf使用 web 应用防火墙在网络层拦截恶意请求推荐

5.3 部署百度云防护 waf(推荐方案)

由于官方暂未发布补丁,且攻击无需认证即可发起,部署专业的 web 应用防火墙(waf) 是目前最有效的临时防护手段。

百度云防护 waf 可通过以下方式防御:

  • xss 攻击检测:内置 xss 检测规则(属于基础 web 防护引擎),可识别并拦截包含
网站地图