关键信息 漏洞类型: Unauthenticated Persistent XSS, Blind SQL Injection, Miscellaneous 影响软件: Forminator (10,000+ active installations) 影响版本: 1.5.4 修复版本: 1.6 CVE编号: CVE-2019-9567 (XSS) / CVE-2019-9568 (SQL Injection) 风险等级: High 联系厂商日期: 11/25/2018 厂商修复日期: 12/10/2018 公开披露日期: 02/05/2019 Unauthenticated Persistent XSS via poll CVSS: 7.2 High (3.0/AV:N/AC:L/PR:N/UI:N/S:C/C:L/I:L/A:N) 细节: 自定义字段不正确地编码,导致持久性XSS 概念验证: 在自定义输入字段中插入 payload,如 ,然后查看投票提交 Authenticated Blind SQL Injection: Delete Submission CVSS: High 8.1 (3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:H) 细节: 删除提交的操作中存在盲注漏洞 概念验证: 拦截或重放请求并将 值更改为包含SQL payload Misc Vulnerabilities Self-XSS via file upload: 上传文件时,文件名插入DOM引发XSS Tab Napping: 页面输入缺少 和 属性,易受Tab Napping攻击 CSV Injection: 导出功能易受到CSV注入攻击 时间线 2018年11月25日: 通过联系表单邮箱询问并发送建议 2018年12月10日: 厂商发布修复版本 2019年02月05日: 公开披露漏洞