iremnurylmz/CVE-2026-30695

# CVE-2026-30695 - Zucchetti Axess 中的 XSS 漏洞 ## 概述 Zucchetti Axess 门禁设备（XA4、X3/X3BIO、X4、X7、XIO、i-door、i-door+）的基于 Web 的配置界面中存在一处跨站脚本（XSS）漏洞。 该漏洞源于 `/file_manager.cgi` 端点的 `dirBrowse` 参数中对用户提供的输入缺乏有效的过滤。通过身份验证的攻击者可以注入任意 JavaScript 代码，这些代码将在管理员用户的上下文中执行。 成功利用该漏洞可能导致会话劫持、未授权的配置更改以及敏感信息泄露。 ## 受影响版本 - XIO h06 build 5522 - IDOOR+ h06 build 5522 - XA4 h06 build 5522 - X3 h02 build 4163 ## PoC GET /file_manager.cgi?dirBrowse= ## 影响 - 会话劫持 - 权限提升 - 凭据窃取 ## CVSS AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:N ## 发现者 İremnur Yılmaz

标签：CISA项目, CVE-2026-30695, dirBrowse, IoT安全, PoC, Web安全, XSS, Zucchetti Axess, 会话劫持, 凭据窃取, 协议分析, 存储型XSS, 嵌入式设备, 文件管理器漏洞, 暴力破解, 权限提升, 模糊测试, 漏洞情报, 物理安全, 网络安全, 蓝队分析, 访问控制系统, 跨站脚本攻击, 输入验证缺失, 隐私保护