Flowsint是一个用于网络情报(OSINT)图探索的开源工具,旨在用于网络安全调查、透明度和验证。在1.2.3版本之前,远程攻击者可以创建包含任意HTML的地图节点,当选择地图选项卡并选择地图节点标记时,会渲染任意HTML,从而可能触发存储型XSS。此漏洞已在1.2.3版本中修复,建议尽快升级。
影响与攻击场景
此漏洞的潜在影响是严重的,因为它允许攻击者执行任意JavaScript代码。攻击者可以利用此漏洞窃取用户的凭据、重定向用户到恶意网站或在用户的浏览器中执行其他恶意操作。由于Flowsint通常用于处理敏感数据,因此此漏洞可能导致严重的后果。存储型XSS的特点是恶意脚本存储在服务器上,并在用户访问相关页面时执行,因此影响范围更广。
利用背景
该漏洞已于2026年5月12日发布。目前没有已知的公开POC,也没有关于该漏洞正在被积极利用的报告。由于该漏洞允许执行任意JavaScript代码,因此其潜在影响被认为是中等。建议密切关注该漏洞的动态,并采取适当的缓解措施。
受影响的软件
弱点分类 (CWE)
时间线
- 发布日期
缓解措施和替代方案
缓解此漏洞的最佳方法是升级到Flowsint 1.2.3或更高版本。如果无法立即升级,可以考虑以下缓解措施:实施严格的输入验证,以防止攻击者创建包含恶意HTML的地图节点。对Flowsint的输出进行编码,以防止恶意HTML被渲染。实施内容安全策略(CSP),以限制浏览器可以加载的资源。由于无法升级,建议使用Web应用防火墙(WAF)来过滤恶意HTML。
修复方法翻译中…
Actualice Flowsint a la versión 1.2.3 o posterior para mitigar el riesgo de XSS. Esta versión corrige la vulnerabilidad al sanitizar correctamente las entradas de los usuarios en los marcadores del mapa, evitando la ejecución de código malicioso.
常见问题
CVE-2026-42157 是什么 — Flowsint 中的 XSS?
CVE-2026-42157是一个安全漏洞,影响Flowsint工具,允许攻击者通过存储型XSS执行任意JavaScript代码。
Flowsint 中的 CVE-2026-42157 是否会影响我?
如果您正在使用Flowsint版本1.0.0–<1.2.3,则您可能受到此漏洞的影响。
如何修复 Flowsint 中的 CVE-2026-42157?
升级到Flowsint 1.2.3或更高版本以修复此漏洞。
CVE-2026-42157 是否正在被积极利用?
目前没有已知的公开POC或关于该漏洞正在被积极利用的报告。
在哪里可以找到 Flowsint 关于 CVE-2026-42157 的官方安全通告?
请参考Flowsint官方文档和NVD数据库以获取更多信息:https://nvd.nist.gov/
立即试用 — 无需账户
上传任何清单文件 (composer.lock, package-lock.json, WordPress 插件列表…) 或粘贴您的组件列表。您立即获得一份漏洞报告。上传文件只是开始:拥有账户后,您将获得持续监控、Slack/电子邮件警报、多项目和白标报告。
拖放您的依赖文件
composer.lock、package-lock.json、requirements.txt、Gemfile.lock、pubspec.lock、Dockerfile...