关键信息 漏洞标题 WeGIA Web Gerenciador 3.4.0 存储型跨站脚本(XSS)漏洞 描述 在WeGIA系统中,特别是在材料和资产模块的单位注册流程中,发现了一个持久性跨站脚本(XSS)漏洞。该漏洞允许攻击者在单位名称字段中注入恶意JavaScript代码,这些代码将被存储在数据库中,并在访问终端用户注册界面时执行。该脚本将在任何与该页面交互的用户的浏览器上下文中执行,从而导致潜在的会话劫持、未经授权的请求或其他身份验证攻击。缺乏适当的验证或清理是导致应用程序完整性和用户安全受到威胁的关键安全漏洞。 步骤 1. 登录平台。 2. 转到“Material > Patrimonio > Entrada > Registrar Entrada”。 3. 在页面/html/matPat/cadastro_entrada.php上,点击“Produto”选项卡下的“+”按钮。 4. 在页面/html/matPat/cadastro_produto.php上,点击“Unidade”选项卡下的“+”按钮。 5. 在页面/html/matPat/cadastro_unidade.php上,注册一个新单位并使用以下XSS有效载荷: 然后点击“Enviar”按钮提交表单。 6. 该有效载荷将被存储在系统中,并在每次加载页面/html/matPat/submissao_produto.php时执行,确认存在存储型跨站脚本(XSS)漏洞。 来源 https://github.com/RaifPereiraexss/PucVulnDb ``` 从截图中可以获取到关于漏洞的关键信息包括漏洞标题、描述、步骤和来源等。