HIGHCVE-2026-33510CVSS 8.8

Homarr /auth/login 重定向中的基于 DOM 的 XSS

Q: CVE-2026-33510 是什么 — Homarr 中的 Cross-Site Scripting (XSS)？

XSS (跨站脚本) 是一种 Web 安全漏洞，允许攻击者将恶意脚本注入到其他用户查看的 Web 页面中。

Q: Homarr 中的 CVE-2026-33510 是否会影响我？

如果您使用的是 1.57.0 之前的 Homarr 版本，则会受到此漏洞的影响。请检查您使用的 Homarr 版本并立即更新。

Q: 如何修复 Homarr 中的 CVE-2026-33510？

立即更改您的密码，尤其是如果您在其他网站上使用相同的密码。监控您的帐户是否存在可疑活动，并考虑联系网络安全专业人员。

Q: CVE-2026-33510 是否正在被积极利用？

有几种漏洞扫描工具可以检测 XSS。您还可以进行手动测试以识别潜在的弱点。

Q: 在哪里可以找到 Homarr 关于 CVE-2026-33510 的官方安全通告？

CSP (内容安全策略) 是一种安全层，通过控制浏览器允许加载的资源来帮助防止 XSS 攻击。实施 CSP 可以显着降低被利用的风险。

平台

javascript

组件

homarr

修复版本

1.57.1

AI Confidence: highNVDEPSS 0.0%已审阅: 2026年5月

在NVD查看

保存

CVE-2026-33510 是Homarr仪表盘中的一个DOM-based跨站脚本攻击（XSS）漏洞，该漏洞存在于 /auth/login 页面。攻击者可以通过构造恶意链接，在认证用户访问时执行任意JavaScript代码，从而可能导致凭证泄露或未授权操作。该漏洞影响Homarr 0.0.0 到 1.57.0 之前的版本。该漏洞已在1.57.0版本中修复。

影响与攻击场景

CVE-2026-33510 影响到 1.57.0 之前的开源仪表板 Homarr。在 /auth/login 页面发现了一个基于 DOM 的跨站脚本 (XSS) 漏洞。应用程序错误地信任 URL 参数 (callbackUrl)，该参数传递给 redirect 和 router.push。攻击者可以创建恶意链接，当经过身份验证的用户打开该链接时，会执行客户端重定向并在其浏览器上下文中执行任意 JavaScript 代码。这可能导致凭据被盗、访问内部网络或操纵用户界面。

利用背景

通过创建包含操作过的 callbackUrl 参数的恶意链接来利用此漏洞。此链接可以通过电子邮件、社交媒体或任何其他通信渠道分发。当经过身份验证的 Homarr 用户点击该链接时，浏览器将执行注入到 callbackUrl 参数中的恶意 JavaScript 代码。用户的身份验证允许该脚本以用户的权限运行，从而可能允许访问敏感信息或执行未经授权的操作。

哪些人处于风险中翻译中…

Organizations and individuals using Homarr versions 0.0.0 through 1.57.0 are at risk. This includes those deploying Homarr in production environments, development environments, or testing environments. Shared hosting environments where Homarr is installed are particularly vulnerable, as a compromised account on one site could potentially impact other sites on the same server.

检测步骤翻译中…

• javascript / web: Inspect browser developer console for unexpected JavaScript execution upon accessing /auth/login. • generic web: Use curl/wget to test the /auth/login endpoint with a malicious callbackUrl parameter (e.g., curl 'http://your-homarr-instance/auth/login?callbackUrl=<script>alert(1)</script>'). • generic web: Examine access/error logs for suspicious requests to /auth/login with unusual URL parameters.

攻击时间线

2026-04-06Disclosure
disclosure

威胁情报

漏洞利用状态

概念验证未知

CISA KEVNO

互联网暴露高

报告1 份威胁报告

EPSS

0.05% (15% 百分位)

CISA SSVC

利用情况poc

可自动化no

技术影响partial

受影响的软件

组件homarr

供应商homarr-labs

影响范围修复版本

< 1.57.0 – < 1.57.01.57.1

弱点分类 (CWE)

CWE-87 CWE-601

时间线

已保留2026-03-20
发布日期2026-04-06
EPSS 更新日期2026-04-14

缓解措施和替代方案

此漏洞的解决方案是将 Homarr 更新到 1.57.0 或更高版本。此版本通过在重定向和路由函数中使用之前正确验证和清理 callbackUrl 参数来修复该问题。强烈建议 Homarr 用户尽快应用此更新，以降低被利用的风险。此外，建议检查服务器日志中是否存在可疑活动，并考虑实施 Web 安全策略，例如内容安全策略 (CSP)，以减少 XSS 攻击的潜在影响。

修复方法翻译中…

Actualice a la versión 1.57.0 o posterior para mitigar la vulnerabilidad de XSS. Esta actualización corrige la forma en que la aplicación maneja la URL de redirección, evitando la ejecución de código JavaScript malicioso.

CVE 安全通讯

漏洞分析和关键警报直接发送到您的邮箱。

常见问题

CVE-2026-33510 是什么 — Homarr 中的 Cross-Site Scripting (XSS)？