漏洞关键信息 漏洞概述 CVE: CVE-2023-1243 漏洞类型: CWE-79: Cross-site Scripting (XSS) - Stored (存储型XSS) 严重性: 中等 (6) 受影响版本: 1.0.4 状态: 已修复 发现者: Hakiduck (@mike993) 描述 answer插件在安装或设置页面自定义“站点名称”时,由于不良的输入净化处理,允许注入任意HTML代码,导致执行JavaScript代码。每次用户进入网站时,XSS会被触发。 注入payload 漏洞端点 https:///admin/general https:///installation/base-info 影响 影响是JavaScript代码执行。然而,需要管理员权限才能编辑易受攻击的输入字段。 Proof of Concept (在安装页面中) 漏洞验证和修复 该漏洞已由joyqi验证,并在版本1.0.6中修复,对应commit: 9870ed