295 Star 1.8K Fork 659

dromara / J2eeFAST

 / 详情

公告功能存在存储型XSS漏洞

已完成
创建于  
2023-04-16 18:42

漏洞原因

系统工具/公告管理 功能下新增公告,公告标题与提示标题处均存在XSS漏洞
输入图片说明

公告标题处的xss触发需要点击或者预览公告
但提示标题处的XSS会随提示弹出触发,在登录面板,以及登录后进入主页会直接触发(公告等级为紧急或严重)
输入图片说明

漏洞复现

使用低权限账户syh创建恶意公告:

使用管理员账户登录系统,触发XSS:
输入图片说明

测试单位:山东大学网络空间安全学院

评论 (1)

展开全部操作日志

已知晓、 请更新最新版本7a9e1a0

周周 任务状态从 待办的 修改为已完成

登录 后才可以发表评论

状态
负责人
里程碑
Pull Requests
关联的 Pull Requests 被合并后可能会关闭此 issue
分支
开始日期   -   截止日期
-
置顶选项
优先级
参与者(2)
1816537 zhouhuanogp 1584234850
Java
1
https://gitee.com/dromara/J2EEFAST.git
git@gitee.com:dromara/J2EEFAST.git
dromara
J2EEFAST
J2eeFAST

搜索帮助