从这个网页截图中,可以获取到以下关于漏洞的关键信息: 1. 漏洞类型:Cross Site Scripting (XSS) Vulnerability 2. 受影响的版本:InstantCMS < 2.16.3 3. 已修复的版本:2.16.4/2.17.0 4. 描述: - 在InstantCMS的相册上传功能中,没有进行输入验证。 - 攻击者可以利用这个漏洞执行恶意脚本。 - XSS攻击是指攻击者在合法网站或Web应用程序中注入恶意脚本。 5. 详细信息: - 影响组件:https://demo.instantcms.io/photos/camera-{payload} - 重现步骤: 1. 登录https://demo.instantcms.io作为演示用户。 2. 访问https://demo.instantcms.io/photos/upload。 3. 上传带有嵌入式payload的图像: 。 4. 访问https://demo.instantcms.io/photos/camera-{payload}。 5. 例如:https://demo.instantcms.io/photos/camera-Amal_Test%3CImq+src=%22asd%22+onerror=%22alert(1)%22%3E 6. 你将观察到payload的立即执行。 6. 补丁:e82de2f 7. 影响: - 攻击者可以使用这个高严重性漏洞执行恶意JavaScript,以窃取cookie、重定向用户、执行任意操作等。 - 攻击者不需要找到外部方式诱导其他用户执行特定请求,只需将他们的攻击放入应用程序中,等待用户遇到它。 - XSS可以用来破坏网站。