padayali-JD/CVE-2026-29598

# CVE-2026-29598：cm3 Acora CMS 10.7.1 版本中的存储型跨站脚本攻击 (XSS) DDSN Interactive cm3 Acora CMS 10.7.1 版本的用户管理功能中存在一个存储型跨站脚本攻击 (XSS) 漏洞。具备添加或编辑用户详情权限的管理员，可能会在通过端点“/submit_add_user.asp”和“/submit_edit_user.asp”操作时，将恶意脚本无意中注入到“first name”和“last name”等字段中。这些脚本会被存储在应用程序的数据库中，并在用户界面中渲染该数据时执行。此漏洞使攻击者能够在其他用户的浏览器上下文中执行任意 JavaScript，可能导致会话劫持、凭据窃取，或以受害者的名义执行未经授权的操作。 由 Crowe India 的 Joby Y Daniel 发现。

标签：0day, 10.7.1, ASP, cm3 Acora CMS, CVE-2026-29598, DDSN Interactive, JavaScript注入, Web安全, XSS, 会话劫持, 凭据窃取, 前端安全, 存储型XSS, 存储型跨站脚本攻击, 安全漏洞, 数据可视化, 数据库注入, 漏洞, 漏洞情报, 漏洞披露, 用户管理, 网络安全, 自动化分析, 蓝队分析, 跨站脚本, 输入验证绕过, 隐私保护