关键信息 漏洞概述 漏洞类型: Authenticated Stored XSS 受影响软件: Vvweb 1.0.5 严重性: 高 (CVSS Score: 8.0) 漏洞细节 受影响端点: - - 攻击方式: 通过上传恶意SVG图像触发XSS。 影响 受影响资产: 用户Cookie、其他站点管理员、编辑器或超级管理员的Cookie。 用户交互: 需要用户在新标签页中打开图像以触发payload,但payload会在用户不知情的情况下执行。 复现步骤 1. 访问受影响端点查看帖子或页面。 2. 编辑帖子或页面并上传包含以下SVG代码的恶意图像: 3. 打开图像的完整路径以触发XSS。 PoC视频 提供了概念验证视频,展示如何复现漏洞。