你有几个邮箱呢?你是怎么分配它们的用途呢?码云账号增加多邮箱支持!
指数
0
Watch 746 Star 1.9k Fork 1k

GVPfuhai / jpressJavaLGPL-3.0

后台发布文章处XSS漏洞

已完成
happyhacking  创建于

两种触发方式:
第一种:

  1. 进入写文章模块,切换编辑器为MarkDown,选择代码输入选项,输入POC:
    输入图片说明
  2. 查看发表后的文章,不会触发
    输入图片说明
  3. 首页查看,文章列表,触发漏洞,因为在文章摘要处直接将正文代码输出
    输入图片说明
    输入图片说明

第二种:

  1. 进入写文章模块,切换编辑器为MarkDown,直接输入POC:
    输入图片说明
  2. 浏览文章,触发,未做任何过滤和转义,编码等处理
    输入图片说明
61279_fuhai 共2人参与

评论 (1)

61279_fuhai
fuhai 2019-01-14 16:04 拥有者

感谢反馈,最新版本已经修复。

登录 后才可以发表评论

负责人
标签
未设置
里程碑
关联分支
开始时间
未设置
结束时间
未设置
置顶选项
优先级

搜索帮助