#xss
9 articles
政府与医疗行业成为2026年5月9日至16日期间九篇报道所记录的一系列XSS攻击的主要目标。相关报道重点提及了CVE-2026-44567、CVE-2026-45303、CVE-2026-45314、CVE-2026-44579及CVE-2026-44580等漏洞,其严重性评分介于7.5至7.7之间。受影响区域覆盖全球,除上述主要行业外,还涉及商业服务、电子商务及教育领域。事件严重程度分布为:四起高危、四起中危及一起低危事件。
HIGHOpen WebUI 修补三个漏洞:XSS、SVG注入、认证绕过
Open WebUI 修复了 CVE-2026-45314(SVG XSS)、CVE-2026-45303(iframe脚本注入)和 CVE-2026-44567(待定角色认证绕过)——全部在自托管的AI平台上。
HIGH微软警告Exchange零日漏洞CVE-2026-42897被利用
CVE-2026-42897是一个高严重性的Exchange Server欺骗漏洞,在野外被利用,通过Outlook网页版实现基于XSS的代码执行。
HIGHNext.js 修补缓存组件中的 XSS 和 DoS 缺陷
CVE-2026-44580 (CVSS 6.1) 通过 beforeInteractive 脚本启用 XSS;CVE-2026-44579 (CVSS 7.5) 触发部分预渲染中的连接耗尽。
HIGHCVE-2025-61314: Mecury 管理打印服务中的反射型 XSS
CVE-2025-61314: GmbH Mecury 管理打印服务 docuForm v11.11c 允许攻击者通过 dfm-menu_orderopt.php 中的精心构造的有效载荷执行任意 JS。
MEDIUMDevs Palace ERP 在线 XSS 漏洞允许远程脚本注入
Devs Palace ERP 在线版本 4.0.0 及以下存在两个存储型 XSS 漏洞,允许远程攻击者通过 /inventory/addnewcustomer 和 /inventory/sales_save 注入脚本。
MEDIUMCMDBuild 3.3.2 存储型 XSS 漏洞允许持久脚本注入
CVE-2021-47925 (CVSS 6.4): 经过身份验证的攻击者可以通过 CMDBuild 3.3.2 中的员工卡参数或 SVG 文件附件注入持久 XSS 有效载荷,影响所有用户...
MEDIUMWordPress GetPaid 插件 HTML 注入漏洞 CVE-2021-47948
CVE-2021-47948 (CVSS 5.4): 经过身份验证的攻击者可以通过 GetPaid 2.4.6 中的帮助文本字段注入任意 HTML,从而在支付表单上启用存储型 XSS 攻击。
LOWSourceCodester 药房系统 XSS 漏洞 CVE-2026-8136 发布
CVE-2026-8136 (CVSS 3.3) 通过 /index.php?page=users 中的 Name 参数在 SourceCodester 药房销售和库存系统 1.0 中启用远程存储 XSS。
MEDIUMThruk 监控 XSS 漏洞 CVE-2022-23961 允许攻击者劫持
CVE-2022-23961(CVSS 6.1)在 Thruk 监控版本 2.46.3 及之前版本中,通过登录字段允许未经身份验证的反射型 XSS,有风险窃取管理员会话。
订阅更新
将最新的网络安全资讯直接发送到您的邮箱。