关键信息 漏洞概述 漏洞类型: 反射型跨站脚本 (XSS) 受影响端点: 参数: 影响版本与修复版本 受影响版本: <= 3.4.4 已修复版本: 3.4.5 描述 总结: 在WeGIA应用的 端点中发现了一个反射型XSS漏洞,允许攻击者在 参数中注入恶意脚本。 详细信息: 应用未能验证和清理 参数中的用户输入,导致恶意负载被注入并在受害者的浏览器中执行。 PoC (概念验证) 影响 用户行为: 攻击者可以执行用户能执行的任何操作。 数据窃取: 攻击者可以窃取数据或在用户机器上安装恶意软件。 账户泄露: 攻击者可以操纵或窃取cookie,或泄露机密信息。 恶意代码: 攻击者可以在用户的系统上执行恶意代码。 商业声誉损害: 攻击者可以篡改企业网站或传播虚假信息。 误导: 攻击者可以更改给用户的指示,如果目标是政府网站或提供重要资源,则可能非常危险。 CVSS评分 严重性: 中等 (6.4/10) CVSS v4基础指标: - 攻击向量: 网络 - 攻击复杂度: 低 - 攻击需求: 无 - 所需权限: 无 - 用户交互: 需要 - 机密性影响: 低 - 完整性影响: 低 - 可用性影响: 无 后续系统影响指标: - 机密性影响: 高 - 完整性影响: 高 - 可用性影响: 高 弱点 CWE ID: CWE-79 致谢 发现者: elisangelasilvademendonca 协调员: nmmorette 修复开发者: GabrielPintoSouza 分析师: rafaelcorvino1, profdiegobcastro