关键信息 漏洞编号: - VDB-278784 - CVE-2024-9291 漏洞名称: - Kalvingit KVF-Admin up to F12A94DC1EBB7D1C51EE978A85E4C7ED75C620FF XML File Upfile Cross Site Scripting 受影响版本: - Kalvingit kvf-admin up to F12A94DC1EBB7D1C51EE978A85E4C7ED75C620FF CVSS Meta Temp Score: - 3.2 当前利用价格: - $0-$5k CTI兴趣评分: - 1.84 漏洞描述: - 该漏洞存在于Kalvingit kvf-admin的未知功能中,影响了文件/ueditor/upload?configPath=ueditor/config.json&action=uploadfile的XML文件处理器。通过未知输入操纵参数upfile会导致跨站脚本攻击。CWE将此问题分类为CWE-79。 影响: - 该产品在输出用于其他用户查看的网页之前,没有正确或不正确地对用户可控制的输入进行中和。 利用难度: - 利用难度被描述为容易。 利用方式: - 可以远程发起攻击。成功利用需要受害者的交互。 技术细节和公开利用: - 已知技术细节和公开利用。 MITRE ATT&CK项目: - 攻击技术被列为T1059.007。 利用代码: - 利用代码已公开,可以在GitHub上下载。 GitHub仓库: - GitHub仓库未收到更新超过两年。 可能的缓解措施: - 建议替换受影响的组件。 相关漏洞编号: - VDB-266295, VDB-266296, VDB-266297, VDB-268213 其他信息 产品: - Kalvingit KVF-Admin 版权: - © 1997-2024 vuldb.com - cc by-nc-sa 语言选项: - de, fr, it, es, pt, ru, pl, sv, zh, ja, ar 版本: - v18.6.2