Tharooon/CVE-2026-29971

# CVE-2026-29971 攻击者可以在受害者的浏览器中执行任意 JavaScript，可能导致会话劫持或权限提升。 # CVE-2026-29971 ## 漏洞类型 反射型跨站脚本攻击 (XSS) ## 受影响产品 WebFileSys ## 受影响版本 2.31.1 ## 漏洞描述 WebFileSys 2.31.1 版本中存在一个反射型跨站脚本漏洞。用户控制的输入在没有进行适当输出编码的情况下被反射到 HTML 和 JavaScript 上下文中，允许攻击者在受害者的浏览器中执行任意 JavaScript。 ## 影响范围 攻击者可以通过诱导受害者与精心构造的请求或链接进行交互来利用此漏洞。成功利用可能导致： - 会话劫持 - 凭据窃取 - 在已认证的会话中执行未经授权的操作 ## 受影响组件 - ftpBackup 功能 - authentication 输入处理 - search 功能 - error message 渲染 ## 复现步骤 1. 导航到 WebFileSys 登录页面。 2. 在受影响的参数中注入以下 payload。 示例 payload：

标签：0day漏洞, API密钥检测, CVE-2026-29971, JavaScript安全, WebFileSys, Web安全, XSS, 会话劫持, 协议分析, 反射型XSS, 多模态安全, 数据可视化, 文件管理系统, 权限提升, 漏洞分析, 漏洞情报, 网络安全, 蓝队分析, 跨站脚本攻击, 路径探测, 输入验证, 输出编码, 隐私保护