saykino/CVE-2026-31281

# CVE-2026-31281 描述 * Totara LMS 存在 HTLM 注入漏洞。攻击者可以在消息中注入恶意 HTLM 代码，并将其发送给应用程序中的所有用户，从而导致代码执行，可能引发会话劫持并在受害者的浏览器中执行命令。 CVSS 3 评分：7.3（高危） 攻击类型 * 远程（需认证） 受影响版本 * 19.1.5 及之前版本 产品供应商 * Totara 受影响产品代码库 * Totara LMS 受影响组件 * 消息框。 缓解措施 * 在消息框中对用户输入/输出实施净化处理。 漏洞详情 * 攻击者可以在消息中注入恶意 HTLM 代码，并将其发送给应用程序中的所有用户，从而导致代码执行，可能引发会话劫持并在受害者的浏览器中执行命令。 已修复版本 * 19.1.5 之后版本 发现者： * Yazan Abu-Nadi

标签：API密钥检测, CVE, CVE-2026-31281, CVSS 7.3, HTLM注入, HTM注入, LMS, Totara LMS, XSS, Yazan Abu-Nadi, 会话劫持, 命令执行, 学习管理系统, 安全漏洞, 数字签名, 数据可视化, 消息框, 漏洞情报, 漏洞披露, 版本大于19.1.5, 版本小于等于19.1.5, 自动化分析, 认证绕过, 跨站脚本, 输入净化, 输入验证, 输出净化, 输出编码, 远程攻击, 逆向工具, 高危漏洞