目录
2026 年 6 月 15 日,国家信息安全漏洞共享平台(cnvd)收录了 ubidauction 的一个跨站脚本漏洞(cnvd-2026-24100)。攻击者无需任何身份认证,仅通过构造包含恶意脚本的 get 请求,即可在受害者浏览器中执行任意 javascript 代码,导致会话劫持、凭证窃取或钓鱼攻击。该漏洞影响 ubidauction 2.0.1 版本,涉及 auctions/manage、orders/myorders、tickets/manage 等多个管理模块的过滤器功能。目前厂商尚未发布修复补丁,使用该拍卖系统的网站应立即限制后台访问,并部署 百度云防护 waf 在网络层拦截恶意请求。
一、 漏洞核心信息
| 项目 | 详情 |
|---|---|
| cnvd 编号 | cnvd-2026-24100 |
| cve 编号 | cve-2022-50968 |
| cvss 3.1 评分 | 5.4(中危) |
| 漏洞类型 | 反射型跨站脚本(reflected xss) |
| 攻击向量 | 网络远程利用,无需认证 |
| 用户交互 | 需要(攻击者需诱骗受害者点击恶意链接) |
| 影响产品 | ubidauction 2.0.1 |
| 受影响模块 | auctions/manage、orders/myorders、tickets/manage、news/manage、posts/manage、backend/mailinglog/manage 等 |
| 官方补丁 | 暂无 |
| poc/exp | 已公开,存在被利用风险 |
ubidauction 是 apphp 公司推出的一款商业 php 拍卖脚本,用于搭建在线拍卖和竞价交易网站。该漏洞影响其 2.0.1 版本,涉及多个后台管理模块的过滤器功能。
二、 漏洞原理:管理模块过滤器参数未过滤
2.1 漏洞产生原因
该漏洞源于 ubidauction 在 auctions/manage 等管理模块的过滤器功能中,对用户输入的 date_created、date_from、date_to 和 created_at 四个参数未进行充分的输入验证和输出编码。当攻击者向这些参数注入恶意脚本时,脚本会被直接反射回受害者浏览器并执行。
2.2 攻击链路
- 攻击者构造包含恶意 javascript 代码的 url,例如在
created_at参数中注入。 - 攻击者通过钓鱼邮件、社交工程等方式诱骗管理员或用户点击该链接。
- 受害者浏览器向服务器发送 get 请求,服务器将恶意脚本原样反射回响应页面。
- 恶意脚本在受害者浏览器中执行,可窃取 cookie、会话令牌或执行其他恶意操作。
2.3 攻击特点
- 反射型 xss:恶意脚本不存储在服务器上,攻击者无需持久化 payload。
- 无需认证:攻击者不需要任何账号即可发起攻击。
- 多个模块受影响:除 auctions/manage 外,orders/myorders、tickets/manage、news/manage、posts/manage、backend/mailinglog/manage 等多个管理模块均存在相同问题。
三、 漏洞危害
| 危害类型 | 具体后果 |
|---|---|
| 会话劫持 | 窃取管理员 cookie 和会话令牌,冒充合法用户登录后台 |
| 凭证窃取 | 通过伪造登录表单窃取管理员账号密码 |
| 钓鱼攻击 | 在后台页面注入虚假内容,诱导管理员执行危险操作 |
| 权限提升 | 利用管理员会话执行非授权操作,如创建管理员账号、篡改拍卖数据 |
| 数据泄露 | 通过恶意脚本窃取后台显示的敏感数据(用户信息、订单记录等) |
由于漏洞存在于后台管理模块,一旦管理员中招,攻击者可直接获得对拍卖系统的完全控制权。
四、 影响范围与官方状态
- 受影响版本:ubidauction 2.0.1。
- 受影响模块:至少 7 个管理模块的过滤器功能。
- 官方状态:厂商尚未提供漏洞修复方案。建议关注厂商澳门凯发主页获取更新信息。
- poc 状态:漏洞利用代码已在 exploit-db 等平台公开,存在较大的被利用风险。
五、 修复与防护方案
5.1 官方补丁(待跟进)
目前厂商尚未发布修复补丁。建议站长关注 apphp 官方发布渠道,及时升级到修复版本。
5.2 临时缓解措施
| 措施 | 操作 | 说明 |
|---|---|---|
| 限制后台访问 ip | 在服务器或防火墙中配置 ip 白名单,仅允许可信 ip 访问 /admin 等后台路径 | 从根本上减少攻击面 |
| 加强管理员安全意识 | 提醒管理员不点击来源不明的链接,尤其注意包含 date_created、created_at 等参数的 url | 降低被钓鱼攻击的风险 |
| 监控后台访问日志 | 定期检查后台日志,关注异常 get 请求 | 及时发现可疑攻击尝试 |
| 部署 waf | 使用 web 应用防火墙在网络层拦截恶意请求 | 推荐 |
5.3 部署百度云防护 waf(推荐方案)
由于官方暂未发布补丁,且攻击无需认证即可发起,部署专业的 web 应用防火墙(waf) 是目前最有效的临时防护手段。
百度云防护 waf 可通过以下方式防御:
- xss 攻击检测:内置 xss 检测规则(属于基础 web 防护引擎),可识别并拦截包含