CVE-2026-1700:projectworlds 房屋租赁与房产列表系统中的跨站脚本漏洞
严重性:中等
类型:漏洞
概述
在 projectworlds 房屋租赁与房产列表系统 1.0 版本中发现一处安全弱点。此漏洞影响到文件/app/sms.php中的未知代码。对参数Message的恶意操控会导致跨站脚本攻击。攻击者可以远程发起攻击。该漏洞的利用代码已公开,可能被用于攻击活动。
AI 分析技术总结
CVE-2026-1700 标识了 projectworlds 房屋租赁与房产列表系统 1.0 版本中的一个跨站脚本漏洞,具体存在于/app/sms.php文件。此漏洞的产生是由于对Message参数过滤不充分,使得攻击者能够向 Web 应用程序注入恶意的 JavaScript 代码。当受害者与精心构造的输入进行交互时(例如查看被篡改的消息),恶意脚本便会在其浏览器上下文中执行。这可能导致未经授权的操作,如会话劫持、凭据窃取或未授权的重定向。
此漏洞可远程利用且无需认证,但触发有效载荷需要用户交互。其 CVSS 4.0 基础评分为 5.1,属于中等严重性,攻击向量为网络,攻击复杂度低,无需权限,但需要用户交互。该漏洞不直接影响机密性或可用性,但会损害完整性和用户信任。尽管目前尚未有野外活跃利用的报告,但利用代码的公开可获得性增加了被利用的风险。目前没有官方补丁或供应商公告,这要求该软件的用户立即采取缓解措施。
潜在影响
对于使用 projectworlds 房屋租赁与房产列表系统 1.0 的欧洲组织,尤其是房地产和物业管理行业的组织,此漏洞带来了客户端攻击的风险,可能危害用户账户和数据完整性。攻击者可能利用 XSS 窃取会话 cookie、进行钓鱼攻击或篡改网页内容,从而可能损害组织声誉和用户信任。鉴于该软件可能处理敏感的客户信息和通信,漏洞利用可能导致对个人数据的未授权访问或对房产列表的篡改。中等严重性表明其影响适中,但远程利用的简易性和公开的利用代码增加了紧迫性。缺乏足够输入验证或 Web 安全控制的组织面临更高风险。如果结合其他漏洞,此漏洞也可能被用作在网络内进行进一步攻击的跳板。
缓解建议
- 在
/app/sms.php中对Message参数实施严格的输入验证和过滤,以中和恶意脚本。 - 在浏览器中渲染所有用户提供的数据之前,应用输出编码,以防止脚本执行。
- 部署具有专门针对 XSS 攻击模式规则的 Web 应用防火墙,以拦截恶意负载。
- 教育最终用户点击未知链接或与可疑消息交互的风险,以减少成功利用的可能性。
- 监控 Web 应用程序日志,查找异常的输入模式或重复尝试利用
Message参数的行为。 - 如果可能,在补丁版本可用后立即升级,或考虑采用安全状况更好的替代软件解决方案。
- 定期进行安全评估和渗透测试,重点关注输入处理和客户端漏洞。
- 使用内容安全策略(CSP)标头来限制浏览器环境中不受信任脚本的执行。
受影响国家
德国、法国、英国、荷兰、意大利、西班牙、波兰
技术细节
- 数据版本:5.2
- 分配者简称:VulDB
- 预留日期:2026-01-30T10:50:08.383Z
- CVSS 版本:4.0
- 状态:已发布
- 威胁 ID:697ce690ac0632022267af13
- 添加到数据库:2026年1月30日,下午5:12:48
- 上次丰富:2026年1月30日,下午5:27:06
- 上次更新:2026年2月1日,下午3:37:16
- 浏览量:13
来源:CVE 数据库 V5
发布日期:2026年1月30日,星期五FINISHED
aeYFGlNGPch5/i0AskAWpmMVXj3lzK9JFM/1O1GWF7BqgzaHo2USbqXnOjt3NBh27uUu+FfW3yJRRswvGa/okD3uhupkUnV7ngH7C+sFzdNv89/AE9WXqGSidYUftMc5
更多精彩内容 请关注我的个人公众号 公众号(办公AI智能小助手)
对网络安全、黑客技术感兴趣的朋友可以关注我的安全公众号(网络安全技术点滴分享)
)
