关键信息 漏洞类型 Cross-Site Scripting (XSS) 影响版本 <= 3.4.4 修复版本 3.4.5 漏洞描述 在 端点的 参数中发现了反射型跨站脚本(XSS)漏洞。 攻击者可以通过在 参数中注入恶意脚本来利用此漏洞。 漏洞细节 易受攻击的端点: POST /html/personalizacao_selecao.php 参数: id 应用程序未能验证和清理用户输入,导致恶意负载被注入并在受害者的浏览器中执行。 PoC (概念验证) Payload: 请求示例: CVSS评分 严重性: 中等 (6.4/10) 影响 反射型跨站脚本攻击可能导致以下后果: - 用户行为:攻击者可以执行用户可以执行的任何操作。 - 数据窃取:攻击者可以窃取数据或在用户的机器上安装恶意软件。 - 账户劫持:攻击者可以操纵或窃取cookie,或泄露机密信息。 - 恶意代码执行:攻击者可以在用户的系统上执行恶意代码。 - 商业声誉损害:攻击者可以诋毁企业网站或传播虚假信息。 - 误导:攻击者可以改变给用户的指示,如果目标是政府网站或提供重要资源,则可能很危险。