关键信息 漏洞类型: Cross Site Scripting (XSS) 受影响产品: Portabilis i-diário 1.6 漏洞描述: - 应用程序未能正确验证和清理用户提供的输入,导致存储型跨站脚本漏洞。 - 漏洞存在于 输入字段中,该字段位于 页面。 详细信息: - 在编辑 输入字段时,可以通过BNCC > Dicionario de Termos BNCC访问该字段。 - 可以插入任意JavaScript代码,这些代码在用户访问 和 页面时被存储并执行。 PoC: - 首先,更改 字段,并插入payload: . - 当用户访问 和 页面时,payload被触发。 受影响的端点: 受影响的参数: 相关图片链接: - https://github.com/FeMarb/CVEs/blob/main/images/bncc_dic.png - https://github.com/FeMarb/CVEs/blob/main/images/bncc_dic_res.png - https://github.com/FeMarb/CVEs/blob/main/images/bncc_dic_res1.png