Metrics
0
Watch 798 Star 2.1k Fork 1.1k

GVPfuhai / jpressJavaLGPL-3.0

后台发布文章处XSS漏洞

Closed
happyhacking  Created at

两种触发方式:
第一种:

  1. 进入写文章模块,切换编辑器为MarkDown,选择代码输入选项,输入POC:
    输入图片说明
  2. 查看发表后的文章,不会触发
    输入图片说明
  3. 首页查看,文章列表,触发漏洞,因为在文章摘要处直接将正文代码输出
    输入图片说明
    输入图片说明

第二种:

  1. 进入写文章模块,切换编辑器为MarkDown,直接输入POC:
    输入图片说明
  2. 浏览文章,触发,未做任何过滤和转义,编码等处理
    输入图片说明
61279_fuhai total 2 participants

Comments (1)

61279_fuhai
fuhai 2019-01-14 16:04 owner

感谢反馈,最新版本已经修复。

Sign in and comment

Assignee
Labels
Not set
Project
Milestone
Branch
Scheduled start
Not set
Scheduled end
Not set
Top level
Priority

Help Search