L4V4D0/CVE-2026-29519-Lucee-Reflected-XSS
GitHub: L4V4D0/CVE-2026-29519-Lucee-Reflected-XSS
针对 Lucee CFML 服务器 URL 路径解析中反射型 XSS 漏洞(CVE-2026-29519)的概念验证,涵盖受影响版本、复现方法和缓解建议。
Stars: 0 | Forks: 0
# CVE-2026-29519-Lucee-Reflected-XSS
Lucee CFML 反射型 XSS 漏洞的概念验证 (CVE-2026-29519)
# 0-Day 框架:Lucee CFML URL 解析中的反射型 XSS 影响企业部署(版本 5.3.1.95 至 7.x)
* **发现者:** Fouad Milat (lavado)
* **发现日期:** 2025年12月6日
* **CVE:** CVE-2026-29519
* **厂商:** Lucee Association
* **产品:** Lucee CFML Server
* **受影响版本:** 从 5.3.1.95 到 7.0.0.395 及 7.x(最新版)的 22 个版本
# 漏洞描述
在 Lucee CFML 的 URL 路径解析机制中发现了一个严重的 0-Day 反射型跨站脚本(**XSS**)漏洞。该漏洞允许攻击者在 Lucee 应用程序(包括管理界面)的上下文中注入并执行任意的 **HTML/JavaScript**。该漏洞影响了从 **5.3.1.95** 到最新 **7.x** 版本中的 **22** 个不同的 **Lucee** 版本。
### 受影响版本
从 **5.3.1.95** 到 **7.0.1.100** 的 **22** 个版本,包括所有 7.x 快照版本。
| 版本 | 状态 | 备注 |
| ------------- | ------------- | :-------------:|
| 7.0.0.395 | ✅ 存在漏洞 | 最新 7.x 版本 |
| 6.2.3.35 | ✅ 存在漏洞 | 最新 6.2.x 补丁 |
| 6.2.2.91 | ✅ 存在漏洞 | |
| 6.2.1.122 | ✅ 存在漏洞 | |
| 6.2.0.321 | ✅ 存在漏洞 | 首次发现的版本 |
| 6.1.2.47 | ✅ 存在漏洞 | |
| 6.1.1.118 | ✅ 存在漏洞 | |
| 6.1.0.243 | ✅ 存在漏洞 | |
| 5.3.7.59 | ✅ 存在漏洞 | |
| 5.3.7.47 | ✅ 存在漏洞 | |
| 5.3.7.43 | ✅ 存在漏洞 | |
| 5.3.6.68 | ✅ 存在漏洞 | |
| 5.3.6.61 | ✅ 存在漏洞 | |
| 5.3.5.96 | ✅ 存在漏洞 | |
| 5.3.5.92 | ✅ 存在漏洞 | |
| 5.3.4.80 | ✅ 存在漏洞 | |
| 5.3.4.77 | ✅ 存在漏洞 | 在主页显示调试信息 |
| 5.3.3.67-SNAPSHOT | ✅ 存在漏洞 | |
| 5.3.3.62 | ✅ 存在漏洞 | |
| 5.3.2.77 | ✅ 存在漏洞 | |
| 5.3.1.102 | ✅ 存在漏洞 | |
| 5.3.1.95 | ✅ 存在漏洞 | |
# 概念验证
```
# 1. 启动一个存在漏洞的 Lucee 实例(示例:6.2.0.321 或 Latest 7.x)
docker run -d -p 8888:8888 --name lucee-test lucee/lucee:6.2.0.321
# 2. 等待 35-40 秒以完成初始化
sleep 40
# 3. 通过访问以下地址测试漏洞:
http://[lucee-host]/test/
/index.cfm/
# 4. 观察 JavaScript 执行(出现 alert 对话框)。
# 5. 清理
docker stop lucee-test 2>/dev/null; docker rm lucee-test 2>/dev/null
```
# 补丁
由于厂商未对此报告作出回应,Lucee 尚未发布官方补丁。但是,以下版本**不受此漏洞影响**:
**安全版本(无漏洞)**
企业可以升级/降级到这些版本以避免 XSS 攻击:
**6.0.x 分支(安全)**
* 6.0.4.10(最新安全的 6.0.x 版本)
* 6.0.3.1
* 6.0.2.45
* 6.0.1.83
* 6.0.0.585-SNAPSHOT-light-nginx
**5.4.x 分支(安全)**
* 5.4.8.2(最新安全的 5.4.x 版本)
* 5.4.7.3
* 5.4.7.2
* 5.4.6.9
* 5.4.5.23
* 5.4.4.38
* 5.4.3.16
* 5.4.3.15
* 5.4.3.2
* 5.4.2.17
* 5.4.1.8
* 5.4.0.80
**5.3.x 分支(部分安全)**
* 5.3.12.1
* 5.3.11.5
* 5.3.10.120
* 5.3.10.97
* 5.3.9.173
* 5.3.9.166
* 5.3.9.160
* 5.3.9.141
* 5.3.9.133
* 5.3.8.237
* 5.3.8.206
* 5.3.8.205-SNAPSHOT
* 5.3.8.201
* 5.3.8.189
### 测试方法
- **测试时长:** 超过 18 小时的手动测试
- **测试版本:** 50 多个 Lucee 版本(4.5.1.024 至 7.0.0.395)
- **平台:** Ubuntu Linux 上的 Docker 容器
- **工具:** curl、手动浏览器测试、Burp Suite
# 给企业的建议
1- **升级到最新的安全版本:**
* 如果使用的是 6.x:升级至 6.0.4.10(或 6.0.1.83 之上的任何 6.0.x 版本)。
* 如果使用的是 5.x:升级至 5.4.8.2(或任何安全的 5.4.x 版本)。
2- **如果无法升级**,应用临时 WAF 规则以拦截 URL 路径中的 HTML 标签。示例:
`location ~* "<.*>" { return 403; }`
3- **监控 Lucee 的官方渠道**,等待未来的安全补丁。由于厂商一直未予回应,企业还应考虑直接联系 Lucee 寻求修复。
## 图表
### CVSS 3.1 评估
| 指标 | 值 | 解释 |
| ------------- | ------------- | ------------- |
| 攻击途径 | 网络 | 可通过网络远程利用 |
| 攻击复杂度 | 低 | 无需特殊条件 |
| 所需权限 | 无 | 无需身份验证 |
| 用户交互 | 需要 | 受害者必须点击恶意链接 |
| 影响范围 | 改变 | 漏洞存在于服务器中,但影响了用户的浏览器会话,跨越了安全边界。 |
| 机密性 | 高 | 可窃取凭据、会话数据 |
| 完整性 | 低 | 可修改页面内容,执行 CSRF |
| 可用性 | 无 | 没有直接的可用性影响 |
**CVSS 分数:7.4** (AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:L/A:N)
## 漏洞披露时间线
- **2025-12-06:** 发送初始报告至 `security@lucee.org` 并创建了私有的 GitHub 安全公告 (GHSA-6x3c-35h8-3h9f)。未获回复。
- **2026-03-10:** 报告提交给 VulnCheck 进行协调披露。
- **2026-03-10:** 暂定分配了 CVE-2026-29519。
- **2026-03-30:** VulnCheck 确认联系 Lucee 后仍未获回复。
- **2026-05-01:** 重新测试了最新稳定版和快照版本 – 漏洞仍然存在。
- **2026-07-08:** 在厂商沉默 7 个月后进行公开披露。
## 影响
- 认证前 XSS
- 凭据钓鱼
## 修复方案
- 降级到已修复的版本。
- 从 URL 路径中过滤 HTML 标签。
- 在处理前验证 URL 路径。
### 参考
1. [Lucee 文档](https://docs.lucee.org/)
2. [OWASP XSS 防范指南](https://cheatsheetseries.owasp.org/cheatsheets/Cross_Site_Scripting_Prevention_Cheat_Sheet.html)
3. [CWE-79](https://cwe.mitre.org/data/definitions/79.html)
4. [CVSS 计算器](https://www.first.org/cvss/calculator/3.1)
###### *Fouad Milat @lavado*
标签:Lucee, PoC, XSS, 安全, 暴力破解, 漏洞情报, 请求拦截, 超时处理