关键信息 漏洞类型 Cross-Site Scripting (XSS) Storage 影响的端点和参数 受影响的端点: 受影响的参数: Planos de ensino 漏洞详情 应用程序未能正确验证和清理用户输入,导致存储型跨站脚本漏洞。 在编辑 输入字段时,可以插入任意JavaScript代码,该代码将被存储并在用户访问 和 页面时执行。 PoC(概念验证) 1. 修改 字段并插入payload: . 2. 用户访问相关页面时触发payload。 影响 窃取会话cookie: 攻击者可以使用窃取的会话cookie劫持用户的会话并代表他们执行操作。 下载恶意软件: 攻击者可以诱骗用户下载并安装恶意软件。 浏览器劫持: 攻击者可以劫持用户的浏览器或提供基于浏览器的漏洞利用。 窃取凭据: 攻击者可以窃取用户的凭据。 获取敏感信息: 攻击者可以获得存储在用户账户或浏览器中的敏感信息。 篡改网站: 攻击者可以通过更改其内容来篡改网站。 误导用户: 攻击者可以更改给访问目标网站的用户的指示,误导他们的行为。 损害企业声誉: 攻击者可以通过篡改公司网站来损害企业的形象或传播错误信息。 发现者 Fernanda Martins (创始人) Natan Morette (协调员) 由 CVE-Hunters 提供支持