关键信息 漏洞类型 Reflected XSS (authenticated) 影响版本 Performance Pro v3.19.17 及更早版本 描述 应用程序在“Future Goals”功能中存在多个存储型XSS漏洞。认证用户提供的恶意输入被服务器端存储,未经过适当编码或清理即渲染到DOM中,允许在任何查看受影响页面的用户的上下文中执行任意JavaScript。 影响的端点和参数 Input (create/update goal): - Goal Name - Goal Notes (name field) - Action Step Name - Notas Name Reflected when viewing/printing goals: - GET /index.php?mod=Goal&task=view&id&type=future - Goal Name - Goal Description - Action Step Description 利用方式 将恶意JavaScript注入到未来目标的以下输入字段之一: - Goal Name - Goal Description - Action Steps Name - Action Steps Description - Note Name 通过钓鱼、社会工程学或其他攻击向量将构造的URL发送给受害者。 当受害者导航到修改后的URL时,应用程序直接将恶意输入反射到浏览器中。 受害者的浏览器在错误消息中渲染注入的有效载荷,允许在受害者的浏览器中执行任意脚本。 示例 Example 1: XSS in Updating/Creating Future Goals - 在更新/创建未来目标时,高亮显示的字段易受XSS攻击。 Example 2: XSS in View/Print of Future Goals - 在查看/打印未来目标的URL中,高亮显示的字段易受XSS攻击。