2026 年 6 月 15 日,国家信息安全漏洞共享平台(CNVD)收录了 uBidAuction 的一个跨站脚本漏洞(CNVD-2026-24100)。攻击者无需任何身份认证,仅通过构造包含恶意脚本的 GET 请求,即可在受害者浏览器中执行任意 JavaScript 代码,导致会话劫持、凭证窃取或钓鱼攻击。该漏洞影响 uBidAuction 2.0.1 版本,涉及 auctions/manage、orders/myOrders、tickets/manage 等多个管理模块的过滤器功能。目前厂商尚未发布修复补丁,使用该拍卖系统的网站应立即限制后台访问,并部署 百度云防护 WAF 在网络层拦截恶意请求。
一、 漏洞核心信息
| 项目 | 详情 |
|---|---|
| CNVD 编号 | CNVD-2026-24100 |
| CVE 编号 | CVE-2022-50968 |
| CVSS 3.1 评分 | 5.4(中危) |
| 漏洞类型 | 反射型跨站脚本(Reflected XSS) |
| 攻击向量 | 网络远程利用,无需认证 |
| 用户交互 | 需要(攻击者需诱骗受害者点击恶意链接) |
| 影响产品 | uBidAuction 2.0.1 |
| 受影响模块 | auctions/manage、orders/myOrders、tickets/manage、news/manage、posts/manage、backend/mailingLog/manage 等 |
| 官方补丁 | 暂无 |
| PoC/EXP | 已公开,存在被利用风险 |
uBidAuction 是 ApPHP 公司推出的一款商业 PHP 拍卖脚本,用于搭建在线拍卖和竞价交易网站。该漏洞影响其 2.0.1 版本,涉及多个后台管理模块的过滤器功能。
二、 漏洞原理:管理模块过滤器参数未过滤
2.1 漏洞产生原因
该漏洞源于 uBidAuction 在 auctions/manage 等管理模块的过滤器功能中,对用户输入的 date_created、date_from、date_to 和 created_at 四个参数未进行充分的输入验证和输出编码。当攻击者向这些参数注入恶意脚本时,脚本会被直接反射回受害者浏览器并执行。
2.2 攻击链路
- 攻击者构造包含恶意 JavaScript 代码的 URL,例如在
created_at参数中注入<script>alert(document.cookie)</script>。 - 攻击者通过钓鱼邮件、社交工程等方式诱骗管理员或用户点击该链接。
- 受害者浏览器向服务器发送 GET 请求,服务器将恶意脚本原样反射回响应页面。
- 恶意脚本在受害者浏览器中执行,可窃取 Cookie、会话令牌或执行其他恶意操作。
2.3 攻击特点
- 反射型 XSS:恶意脚本不存储在服务器上,攻击者无需持久化 payload。
- 无需认证:攻击者不需要任何账号即可发起攻击。
- 多个模块受影响:除 auctions/manage 外,orders/myOrders、tickets/manage、news/manage、posts/manage、backend/mailingLog/manage 等多个管理模块均存在相同问题。
三、 漏洞危害
| 危害类型 | 具体后果 |
|---|---|
| 会话劫持 | 窃取管理员 Cookie 和会话令牌,冒充合法用户登录后台 |
| 凭证窃取 | 通过伪造登录表单窃取管理员账号密码 |
| 钓鱼攻击 | 在后台页面注入虚假内容,诱导管理员执行危险操作 |
| 权限提升 | 利用管理员会话执行非授权操作,如创建管理员账号、篡改拍卖数据 |
| 数据泄露 | 通过恶意脚本窃取后台显示的敏感数据(用户信息、订单记录等) |
由于漏洞存在于后台管理模块,一旦管理员中招,攻击者可直接获得对拍卖系统的完全控制权。
四、 影响范围与官方状态
- 受影响版本:uBidAuction 2.0.1。
- 受影响模块:至少 7 个管理模块的过滤器功能。
- 官方状态:厂商尚未提供漏洞修复方案。建议关注厂商主页获取更新信息。
- PoC 状态:漏洞利用代码已在 Exploit-DB 等平台公开,存在较大的被利用风险。
五、 修复与防护方案
5.1 官方补丁(待跟进)
目前厂商尚未发布修复补丁。建议站长关注 ApPHP 官方发布渠道,及时升级到修复版本。
5.2 临时缓解措施
| 措施 | 操作 | 说明 |
|---|---|---|
| 限制后台访问 IP | 在服务器或防火墙中配置 IP 白名单,仅允许可信 IP 访问 /admin 等后台路径 | 从根本上减少攻击面 |
| 加强管理员安全意识 | 提醒管理员不点击来源不明的链接,尤其注意包含 date_created、created_at 等参数的 URL | 降低被钓鱼攻击的风险 |
| 监控后台访问日志 | 定期检查后台日志,关注异常 GET 请求 | 及时发现可疑攻击尝试 |
| 部署 WAF | 使用 Web 应用防火墙在网络层拦截恶意请求 | 推荐 |
5.3 部署百度云防护 WAF(推荐方案)
由于官方暂未发布补丁,且攻击无需认证即可发起,部署专业的 Web 应用防火墙(WAF) 是目前最有效的临时防护手段。
百度云防护 WAF 可通过以下方式防御:
- XSS 攻击检测:内置 XSS 检测规则(属于基础 Web 防护引擎),可识别并拦截包含
<script>、javascript:、onerror=等恶意特征的请求。 - 自定义规则拦截:针对管理模块路径(如
/auctions/manage、/orders/myOrders)和风险参数(date_created、created_at等)设置访问控制规则。 - JA4 指纹识别:锁定攻击者的工具特征,即使换 IP 也能精准封杀。
- IP 情报库:自动封杀代理 IP、云服务 IP 等恶意来源。
配置建议:
规则名称: 拦截 uBidAuction 管理模块 XSS 攻击
匹配条件: URI 包含 /auctions/manage 或 /orders/myOrders 或 /tickets/manage
且参数包含 <script 或 javascript:
处置动作: 拦截六、 企业行动指南
| 优先级 | 措施 | 说明 |
|---|---|---|
| 高 | 限制后台管理界面公网暴露 | 使用 IP 白名单或 VPN 访问后台 |
| 高 | 部署百度云防护 WAF | 立即获得 XSS 防护,无需等待官方修复 |
| 中 | 提醒管理员勿点可疑链接 | 加强安全意识培训,防止钓鱼攻击 |
| 中 | 审计后台访问日志 | 排查是否存在异常 GET 请求 |
| 低 | 关注官方补丁动态 | 待官方发布补丁后及时升级 |
七、 总结
uBidAuction 2.0.1 的多个管理模块存在反射型 XSS 漏洞(CNVD-2026-24100 / CVE-2022-50968),攻击者无需认证即可通过构造恶意 GET 请求注入脚本,窃取管理员会话或执行其他恶意操作。目前官方尚未发布补丁,使用 uBidAuction 的拍卖网站应立即限制后台访问,并部署百度云防护 WAF 进行虚拟补丁防护。
如果你不确定自己的 uBidAuction 系统是否受影响,或希望快速接入百度云防护,欢迎联系 主机吧。我们提供免费安全评估和配置指导。
主机吧 | 百度云防护官方合作伙伴
提供 WAF 接入、高防 CDN、高防 IP、高防服务器、SSL 证书一站式服务
让 XSS 攻击无处可逃,让每一个网站都固若金汤。
