CVE-2024-58304：SPA-CART CMS 中的跨站脚本漏洞

严重性：中 类型：漏洞 CVE ID：CVE-2024-58304

概述

SPA-CART CMS 1.9.0.3 版本在产品描述参数中存在一个存储型跨站脚本（XSS）漏洞。该漏洞允许经过身份验证的管理员注入恶意脚本。攻击者可以通过产品编辑表单中的 descr 参数提交 JavaScript 载荷，从而在管理员的浏览器中执行任意代码。

技术摘要

CVE-2024-58304 是一个在 SPA-CART CMS 1.9.0.3 版本中发现的存储型跨站脚本漏洞，具体影响产品编辑表单中产品描述字段所使用的 descr 参数。该漏洞源于网页生成过程中输入未经妥善处理（CWE-79），使得拥有经过身份验证的管理员访问权限的攻击者能够注入恶意的 JavaScript 载荷。当管理员查看或与受影响的产品描述交互时，注入的脚本将在其浏览器上下文中执行，可能导致会话劫持、权限提升或在 CMS 内执行未授权操作。该漏洞除了需要经过身份验证的访问外，不需要额外的权限或用户交互，攻击媒介基于网络且复杂度低。CVSS 4.0 向量表明无需权限（PR:N）、无需认证（AT:N），但需要用户交互（UI:P），对机密性和完整性的影响较低，对可用性影响有限。尽管目前没有公开的利用程序，但由于受影响用户的管理员上下文，该漏洞构成了重大风险。SPA-CART CMS 是一个用于电子商务平台的内容管理系统，管理员账户的泄露可能导致对在线店铺的完全控制、数据泄露或进一步的恶意软件部署。

潜在影响

对于欧洲的组织而言，利用此漏洞可能导致管理电子商务平台的管理员账户被攻陷，从而造成产品列表被未授权修改、敏感客户数据被盗取或影响客户的恶意内容被插入。这会损害品牌声誉，导致不合规（例如，因数据泄露违反 GDPR），并通过欺诈或停机造成财务损失。由于该漏洞需要经过身份验证的管理员访问权限，因此在凭据管理薄弱或访问控制不足的环境中风险更高。利用此漏洞的攻击者可能转向其他内部系统，或通过受损的 CMS 基础设施进行供应链攻击。中等 CVSS 评分反映了中等程度的影响，但电子商务平台在欧洲的战略重要性放大了潜在的后果。

缓解建议

组织应立即审计并限制对 SPA-CART CMS 的管理员访问，确保强制执行强身份验证机制，例如多因素认证（MFA）。应在 descr 参数上实施或增强输入验证和输出编码，以中和恶意脚本。由于目前没有官方补丁，可考虑部署具有自定义规则的 Web 应用程序防火墙（WAF）来检测和拦截针对产品描述字段的可疑载荷。定期监控管理活动日志，以发现表明利用尝试的异常行为。对管理员进行有关 XSS 风险和安全处理产品描述的教育。在可行的情况下，将 CMS 管理界面隔离在 VPN 或 IP 白名单之后以减少暴露面。一旦供应商发布修复程序，应计划及时打补丁，并在生产部署前在测试环境中测试更新。

受影响国家

德国、法国、英国、意大利、西班牙、荷兰、波兰、比利时、瑞典、奥地利