L4V4D0/CVE-2026-29519-Lucee-Reflected-XSS

GitHub: L4V4D0/CVE-2026-29519-Lucee-Reflected-XSS

针对 Lucee CFML 服务器 URL 路径解析中反射型 XSS 漏洞(CVE-2026-29519)的概念验证,涵盖受影响版本、复现方法和缓解建议。

Stars: 0 | Forks: 0

# CVE-2026-29519-Lucee-Reflected-XSS Lucee CFML 反射型 XSS 漏洞的概念验证 (CVE-2026-29519) # 0-Day 框架:Lucee CFML URL 解析中的反射型 XSS 影响企业部署(版本 5.3.1.95 至 7.x) * **发现者:** Fouad Milat (lavado) * **发现日期:** 2025年12月6日 * **CVE:** CVE-2026-29519 * **厂商:** Lucee Association * **产品:** Lucee CFML Server * **受影响版本:** 从 5.3.1.95 到 7.0.0.395 及 7.x(最新版)的 22 个版本 # 漏洞描述 在 Lucee CFML 的 URL 路径解析机制中发现了一个严重的 0-Day 反射型跨站脚本(**XSS**)漏洞。该漏洞允许攻击者在 Lucee 应用程序(包括管理界面)的上下文中注入并执行任意的 **HTML/JavaScript**。该漏洞影响了从 **5.3.1.95** 到最新 **7.x** 版本中的 **22** 个不同的 **Lucee** 版本。 ### 受影响版本 从 **5.3.1.95** 到 **7.0.1.100** 的 **22** 个版本,包括所有 7.x 快照版本。 | 版本 | 状态 | 备注 | | ------------- | ------------- | :-------------:| | 7.0.0.395 | ✅ 存在漏洞 | 最新 7.x 版本 | | 6.2.3.35 | ✅ 存在漏洞 | 最新 6.2.x 补丁 | | 6.2.2.91 | ✅ 存在漏洞 | | | 6.2.1.122 | ✅ 存在漏洞 | | | 6.2.0.321 | ✅ 存在漏洞 | 首次发现的版本 | | 6.1.2.47 | ✅ 存在漏洞 | | | 6.1.1.118 | ✅ 存在漏洞 | | | 6.1.0.243 | ✅ 存在漏洞 | | | 5.3.7.59 | ✅ 存在漏洞 | | | 5.3.7.47 | ✅ 存在漏洞 | | | 5.3.7.43 | ✅ 存在漏洞 | | | 5.3.6.68 | ✅ 存在漏洞 | | | 5.3.6.61 | ✅ 存在漏洞 | | | 5.3.5.96 | ✅ 存在漏洞 | | | 5.3.5.92 | ✅ 存在漏洞 | | | 5.3.4.80 | ✅ 存在漏洞 | | | 5.3.4.77 | ✅ 存在漏洞 | 在主页显示调试信息 | | 5.3.3.67-SNAPSHOT | ✅ 存在漏洞 | | | 5.3.3.62 | ✅ 存在漏洞 | | | 5.3.2.77 | ✅ 存在漏洞 | | | 5.3.1.102 | ✅ 存在漏洞 | | | 5.3.1.95 | ✅ 存在漏洞 | | # 概念验证 ``` # 1. 启动一个存在漏洞的 Lucee 实例(示例:6.2.0.321 或 Latest 7.x) docker run -d -p 8888:8888 --name lucee-test lucee/lucee:6.2.0.321 # 2. 等待 35-40 秒以完成初始化 sleep 40 # 3. 通过访问以下地址测试漏洞: http://[lucee-host]/test//index.cfm/ # 4. 观察 JavaScript 执行(出现 alert 对话框)。 # 5. 清理 docker stop lucee-test 2>/dev/null; docker rm lucee-test 2>/dev/null ``` image # 补丁 由于厂商未对此报告作出回应,Lucee 尚未发布官方补丁。但是,以下版本**不受此漏洞影响**: **安全版本(无漏洞)** 企业可以升级/降级到这些版本以避免 XSS 攻击: **6.0.x 分支(安全)** * 6.0.4.10(最新安全的 6.0.x 版本) * 6.0.3.1 * 6.0.2.45 * 6.0.1.83 * 6.0.0.585-SNAPSHOT-light-nginx **5.4.x 分支(安全)** * 5.4.8.2(最新安全的 5.4.x 版本) * 5.4.7.3 * 5.4.7.2 * 5.4.6.9 * 5.4.5.23 * 5.4.4.38 * 5.4.3.16 * 5.4.3.15 * 5.4.3.2 * 5.4.2.17 * 5.4.1.8 * 5.4.0.80 **5.3.x 分支(部分安全)** * 5.3.12.1 * 5.3.11.5 * 5.3.10.120 * 5.3.10.97 * 5.3.9.173 * 5.3.9.166 * 5.3.9.160 * 5.3.9.141 * 5.3.9.133 * 5.3.8.237 * 5.3.8.206 * 5.3.8.205-SNAPSHOT * 5.3.8.201 * 5.3.8.189 ### 测试方法 - **测试时长:** 超过 18 小时的手动测试 - **测试版本:** 50 多个 Lucee 版本(4.5.1.024 至 7.0.0.395) - **平台:** Ubuntu Linux 上的 Docker 容器 - **工具:** curl、手动浏览器测试、Burp Suite # 给企业的建议 1- **升级到最新的安全版本:** * 如果使用的是 6.x:升级至 6.0.4.10(或 6.0.1.83 之上的任何 6.0.x 版本)。 * 如果使用的是 5.x:升级至 5.4.8.2(或任何安全的 5.4.x 版本)。 2- **如果无法升级**,应用临时 WAF 规则以拦截 URL 路径中的 HTML 标签。示例: `location ~* "<.*>" { return 403; }` 3- **监控 Lucee 的官方渠道**,等待未来的安全补丁。由于厂商一直未予回应,企业还应考虑直接联系 Lucee 寻求修复。 ## 图表 image (1) ### CVSS 3.1 评估 | 指标 | 值 | 解释 | | ------------- | ------------- | ------------- | | 攻击途径 | 网络 | 可通过网络远程利用 | | 攻击复杂度 | 低 | 无需特殊条件 | | 所需权限 | 无 | 无需身份验证 | | 用户交互 | 需要 | 受害者必须点击恶意链接 | | 影响范围 | 改变 | 漏洞存在于服务器中,但影响了用户的浏览器会话,跨越了安全边界。 | | 机密性 | 高 | 可窃取凭据、会话数据 | | 完整性 | 低 | 可修改页面内容,执行 CSRF | | 可用性 | 无 | 没有直接的可用性影响 | **CVSS 分数:7.4** (AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:L/A:N) ## 漏洞披露时间线 - **2025-12-06:** 发送初始报告至 `security@lucee.org` 并创建了私有的 GitHub 安全公告 (GHSA-6x3c-35h8-3h9f)。未获回复。 - **2026-03-10:** 报告提交给 VulnCheck 进行协调披露。 - **2026-03-10:** 暂定分配了 CVE-2026-29519。 - **2026-03-30:** VulnCheck 确认联系 Lucee 后仍未获回复。 - **2026-05-01:** 重新测试了最新稳定版和快照版本 – 漏洞仍然存在。 - **2026-07-08:** 在厂商沉默 7 个月后进行公开披露。 ## 影响 - 认证前 XSS - 凭据钓鱼 ## 修复方案 - 降级到已修复的版本。 - 从 URL 路径中过滤 HTML 标签。 - 在处理前验证 URL 路径。 ### 参考 1. [Lucee 文档](https://docs.lucee.org/) 2. [OWASP XSS 防范指南](https://cheatsheetseries.owasp.org/cheatsheets/Cross_Site_Scripting_Prevention_Cheat_Sheet.html) 3. [CWE-79](https://cwe.mitre.org/data/definitions/79.html) 4. [CVSS 计算器](https://www.first.org/cvss/calculator/3.1) ###### *Fouad Milat @lavado*
标签:Lucee, PoC, XSS, 安全, 暴力破解, 漏洞情报, 请求拦截, 超时处理