CVE-2026-45343 in LinkAce信息

摘要

由 VulDB • 2026-05-31

LinkAce 是一个自托管的网站链接归档工具。在 2.5.6 版本之前，LinkAce 存在一个存储型跨站脚本（Stored XSS）漏洞，允许低权限用户在管理员的浏览器会话中执行任意 JavaScript 代码。此漏洞影响配置了 SSO/OAuth 认证的实例，而 SSO/OAuth 是 LinkAce 支持的认证方式之一。攻击者可以将 OAuth 显示名称设置为恶意脚本，然后创建 API 令牌，从而在审计日志中植入持久的 XSS 有效载荷。当任何管理员导航至 /system/audit 页面时，该有效载荷将在管理员的浏览器上下文中执行。这可能导致会话 Cookie 被窃取、CSRF 令牌被外泄（通过 la-app-data 元标签暴露），或执行管理员可执行的任何其他操作。该漏洞已在 2.5.6 版本中修复。

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

负责

GitHub M

预定

2026-05-11

披露

2026-05-29

管理

已接受

条目

VDB-367145

CPE

准备好

CWE

CWE-79 (已确认)

CVSS

3.5 (VulDB)

EPSS

0.00096

KEV

否

活动

非常低

来源

MITRE	https://www.cve.org/CVERecord?id=CVE-2026-45343
NVD	https://nvd.nist.gov/vuln/detail/CVE-2026-45343
CVE Details	https://www.cvedetails.com/cve/CVE-2026-45343/

◂ 上一步一览下一步 ▸

Interested in the pricing of exploits?

See the underground prices here!