关键漏洞信息 CVE: CVE-2022-3002 (Published) 漏洞类型: CWE-79: Cross-site Scripting (XSS) - Stored 严重性: 中等(5.4) 影响的版本: 6.4.0 可见性: 公开 状态: 已修复 发现者: thanhlocpanda (@thanhlocstudent) 漏洞描述 该应用程序使用Purifier来避免跨站脚本攻击。然而,在从“设置”中访问“BusinessHours”模块时,名称参数的类型是“文本”,但未进行验证,并且在EditViewBlocks.tpl中直接使用,没有任何编码或验证。这允许攻击者注入任意JavaScript代码以执行存储型XSS攻击。 证明概念 1. 登录应用程序 2. 通过以下URL访问BusinessHours模块(编辑): 3. 将上述URL中的{id}替换为有效的recordID。将“名称”参数的值更改为以下payload: 影响 XSS攻击允许攻击者在受害网站和受害用户上下文中执行任意JavaScript。这可能被用于窃取会话cookie、以受害者名义执行请求或进行网络钓鱼攻击。 发生位置 EditViewBlocks.tpl L32