CVE-2026-1700projectworlds 房屋租赁与房产列表系统中的跨站脚本漏洞严重性中等类型漏洞概述在 projectworlds 房屋租赁与房产列表系统 1.0 版本中发现一处安全弱点。此漏洞影响到文件/app/sms.php中的未知代码。对参数Message的恶意操控会导致跨站脚本攻击。攻击者可以远程发起攻击。该漏洞的利用代码已公开可能被用于攻击活动。AI 分析技术总结CVE-2026-1700 标识了 projectworlds 房屋租赁与房产列表系统 1.0 版本中的一个跨站脚本漏洞具体存在于/app/sms.php文件。此漏洞的产生是由于对Message参数过滤不充分使得攻击者能够向 Web 应用程序注入恶意的 JavaScript 代码。当受害者与精心构造的输入进行交互时例如查看被篡改的消息恶意脚本便会在其浏览器上下文中执行。这可能导致未经授权的操作如会话劫持、凭据窃取或未授权的重定向。此漏洞可远程利用且无需认证但触发有效载荷需要用户交互。其 CVSS 4.0 基础评分为 5.1属于中等严重性攻击向量为网络攻击复杂度低无需权限但需要用户交互。该漏洞不直接影响机密性或可用性但会损害完整性和用户信任。尽管目前尚未有野外活跃利用的报告但利用代码的公开可获得性增加了被利用的风险。目前没有官方补丁或供应商公告这要求该软件的用户立即采取缓解措施。潜在影响对于使用 projectworlds 房屋租赁与房产列表系统 1.0 的欧洲组织尤其是房地产和物业管理行业的组织此漏洞带来了客户端攻击的风险可能危害用户账户和数据完整性。攻击者可能利用 XSS 窃取会话 cookie、进行钓鱼攻击或篡改网页内容从而可能损害组织声誉和用户信任。鉴于该软件可能处理敏感的客户信息和通信漏洞利用可能导致对个人数据的未授权访问或对房产列表的篡改。中等严重性表明其影响适中但远程利用的简易性和公开的利用代码增加了紧迫性。缺乏足够输入验证或 Web 安全控制的组织面临更高风险。如果结合其他漏洞此漏洞也可能被用作在网络内进行进一步攻击的跳板。缓解建议在/app/sms.php中对Message参数实施严格的输入验证和过滤以中和恶意脚本。在浏览器中渲染所有用户提供的数据之前应用输出编码以防止脚本执行。部署具有专门针对 XSS 攻击模式规则的 Web 应用防火墙以拦截恶意负载。教育最终用户点击未知链接或与可疑消息交互的风险以减少成功利用的可能性。监控 Web 应用程序日志查找异常的输入模式或重复尝试利用Message参数的行为。如果可能在补丁版本可用后立即升级或考虑采用安全状况更好的替代软件解决方案。定期进行安全评估和渗透测试重点关注输入处理和客户端漏洞。使用内容安全策略CSP标头来限制浏览器环境中不受信任脚本的执行。受影响国家德国、法国、英国、荷兰、意大利、西班牙、波兰技术细节数据版本:5.2分配者简称:VulDB预留日期:2026-01-30T10:50:08.383ZCVSS 版本:4.0状态:已发布威胁 ID:697ce690ac0632022267af13添加到数据库:2026年1月30日下午5:12:48上次丰富:2026年1月30日下午5:27:06上次更新:2026年2月1日下午3:37:16浏览量:13来源:CVE 数据库 V5发布日期:2026年1月30日星期五FINISHEDaeYFGlNGPch5/i0AskAWpmMVXj3lzK9JFM/1O1GWF7BqgzaHo2USbqXnOjt3NBh27uUuFfW3yJRRswvGa/okD3uhupkUnV7ngH7CsFzdNv89/AE9WXqGSidYUftMc5更多精彩内容 请关注我的个人公众号 公众号办公AI智能小助手对网络安全、黑客技术感兴趣的朋友可以关注我的安全公众号网络安全技术点滴分享