漏洞关键信息 漏洞类型 XSS漏洞:反射型跨站脚本漏洞 漏洞版本 Xinhu RockOA v2.6.3 漏洞来源 文件位置: 漏洞细节 关键代码行: - Line 100: - Lines 129-306: 方法中使用了 ,未对输入进行有效过滤。 漏洞描述 该漏洞源于 文件中的代码,未能对用户输入进行充分的验证和转义,导致可以嵌入恶意脚本。 漏洞影响 不可用SAST工具发现:该漏洞不能通过静态应用安全测试(SAST)工具检测,需要动态应用安全测试(DAST)。 可控参数 , , , , 概念验证(PoC) URL示例: - - 其他几个类似的URL也展示了通过上述参数可以触发XSS攻击。 漏洞利用风险 用户在特定界面输入上述可控参数时,有可能执行恶意脚本,导致敏感信息泄露或进一步的攻击行为。