MobileDetect 2.8.31 存在存储型跨站脚本（XSS）漏洞风险

MobileDetect 2.8.31 受存储型跨站脚本（XSS）漏洞影响

安全研究人员近期发现，MobileDetect 2.8.31——一款用于检测移动设备的流行 PHP 库——存在**存储型跨站脚本（Stored XSS）**漏洞。该漏洞已通过 Exploit Database 披露，允许攻击者在受害者浏览器会话中注入并执行任意恶意脚本。

技术细节

该漏洞源于 MobileDetect 在用户代理（User-Agent）检测机制中输入过滤不足。攻击者可构造包含 XSS 有效载荷的恶意 HTTP 请求，这些载荷随后被存储并在应用程序输出中渲染。当毫无防备的用户访问受影响页面时，注入的脚本将执行，可能导致会话劫持、数据窃取或进一步的攻击。

目前，该漏洞尚未分配 CVE 编号，但相关利用方法已公开披露，增加了未修补部署被主动利用的风险。

影响分析

存储型 XSS 漏洞因其持久性而尤为危险。与反射型 XSS（需诱骗用户点击恶意链接）不同，存储型 XSS 有效载荷会嵌入应用程序中，影响所有访问受感染资源的用户。依赖 MobileDetect 2.8.31 进行设备检测的 Web 应用程序面临风险，尤其是以下场景：

• 未经适当过滤存储或显示 User-Agent 字符串的应用。
• 在身份验证或会话处理流程中集成 MobileDetect 的系统。

修复建议

安全团队和开发者应立即采取措施缓解该漏洞：

1. 升级 MobileDetect：检查是否有已修补的版本并及时更新。
2. 输入过滤：对 User-Agent 字符串及其他用户可控输入实施严格的输入验证和输出编码。
3. 部署内容安全策略（CSP）：配置强 CSP 以限制内联脚本执行，降低 XSS 影响。
4. 监控利用迹象：检查 Web 应用日志，留意可疑的 User-Agent 字符串或异常脚本执行。

使用 MobileDetect 2.8.31 的组织应评估自身风险并采取补救措施，防范潜在攻击。