Cr0wld3r/CVE-2026-30082

### IngEstate Server 软件包列表页面编辑功能中的存储型跨站脚本攻击（XSS）漏洞 ### 受影响版本：IngEstate Server - 11.14.0 ## 受影响功能 ## PoC 要利用此存储型跨站脚本攻击（XSS）漏洞，已通过身份验证的用户必须首先通过仪表板访问软件包列表页面。编辑功能与 API 端点 /emgui/rest/appDatasheet/ 进行交互。攻击者随后可以将 XSS payload 注入到“关于应用”、“新功能”或“发行说明”参数中。一旦注入成功，恶意的 JavaScript 就会被保存在服务器上，并在其他用户随后查看这些部分时自动执行。 ## 结果 攻击者可以在其他用户的浏览器中执行任意的 JavaScript 代码，从而导致会话劫持、凭据窃取，或以受害者的名义执行未经授权的操作。此漏洞会影响所有查看受破坏的软件包信息的用户。 ## 发现者 Sacombank 的 Long Dang Hoang

标签：API安全, CISA项目, CMS安全, CVE, IngEstate Server, JavaScript, JSON输出, PoC, REST API, Web安全, XSS, 代码执行, 会话劫持, 凭据窃取, 前端安全, 存储型XSS, 数字签名, 数据可视化, 数据展示, 暴力破解, 注入漏洞, 漏洞, 漏洞情报, 红队, 网络安全, 蓝队分析, 跨站脚本攻击, 身份认证绕过, 软件包管理, 隐私保护