关键信息 漏洞标题: Concretecms v9.3.9 - Cross-Site Scripting (XSS) 日期: 2025年3月13日 厂商主页: https://github.com/concretecms/concretecms 测试环境: Debian Linux, Apache, Mysql 厂商: Concretecms 版本: v9.3.9 漏洞描述: - ConcreteCMS v9.3.9在添加Feature Link块时,Title字段、Body Source字段和Button Text字段存在存储型跨站脚本(XSS)漏洞。 - 攻击者可以通过注入恶意脚本欺骗其他用户,这些脚本会在其他用户查看的网页中执行。 POC 漏洞利用步骤: 1. 以具有页面编辑权限的用户身份登录。 2. 点击顶部导航中的“添加内容到页面”。 3. 选择Feature Link块,拖动并将其放置在页面上。 4. 在Title字段、Body Source字段和Button Text字段中添加 ,然后点击ADD,XSS漏洞就会出现。 可能有问题的源代码: