RPCMS跨站脚本漏洞(xss)

CNVD-ID:

    CNVD-2024-01190

漏洞描述:

    RPCMS是一个应用软件,一个网站CMS系统。

    RPCMS v3.5.5版本存在跨站脚本漏洞,该漏洞源于组件/logs/dopost.html中对用户提供的数据缺乏有效过滤与转义,攻击者可利用该漏洞通过注入精心设计的有效载荷执行任意Web脚本或HTML。

漏洞复现:    

    1、"设置"->"基本设置"->"统计代码":

    

RPCMS跨站脚本漏洞(xss)_第1张图片

    

RPCMS跨站脚本漏洞(xss)_第2张图片

2、"导航":

        

RPCMS跨站脚本漏洞(xss)_第3张图片

RPCMS跨站脚本漏洞(xss)_第4张图片

3、“文章”->"超链接“:

        

RPCMS跨站脚本漏洞(xss)_第5张图片

RPCMS跨站脚本漏洞(xss)_第6张图片

Change the burpsutie packet capture, remove http://, and encode the HTML entity in front of alert():
payload: javascript%26%23x3a%3Balert(document.cookie)

RPCMS跨站脚本漏洞(xss)_第7张图片

本文链接:  https://www.黑客.wang/wen/44.html

你可能感兴趣的:(xss,前端,网络安全,安全漏洞,web安全)