漏洞关键信息 CVE编号 CVE-2022-1571 漏洞类型 CWE-79: Cross-site Scripting (XSS) - Reflected 严重性 Critical (9.9) - Attack vector: Network - Attack complexity: Low - Privileges required: None - User interaction: None - Scope: Changed - Confidentiality: High - Integrity: Low - Availability: Low 影响版本 v2021.81 可见性 Public 状态 Fixed 报告信息 报告时间: Apr 30th 2022 发现者: Nhien.IT (@nhienit2010) 修复者: Carlos Garcia (@neorazorx) 漏洞描述 XSS漏洞: 在创建子账户时,通过 参数反射,攻击者可以通过此漏洞执行任意JavaScript代码。 漏洞影响 执行任意JavaScript代码: 可以窃取用户的COOKIE,执行HTTP请求,获取同源页面内容等。 复现步骤 在“Accounting”部分,选择“New”,并填写所有表单。 使用Burp Suite拦截请求,修改 参数值为XSS payload,点击“Forward”。 观察执行的 。 参考资料 OWASP Top 10 2017 - A7:2017-Cross-Site Scripting (XSS)