关键漏洞信息 EDB-ID: 46545 CVE: 2019-9834 Author: s4vitar Type: WEBAPPS Platform: MULTIPLE Date: 2019-03-15 Vulnerable App: NetData 1.13.0 漏洞描述 NetData v1.13.0 存在 HTML 注入漏洞。成功利用该漏洞后,攻击者可以通过受影响的浏览器运行自定义的 HTML 代码,可能允许窃取基于 cookie 的身份验证凭据或控制用户如何查看网站。其他攻击也可能发生。 影响版本 NetData 1.13.0 及以下版本 利用步骤 1. 使用 NetData 仪表盘顶部导航栏右侧的“导出/保存 NetData 快照”功能导出有效的快照。 2. 导出完成后,攻击者可以操纵快照文件的内容并注入自己的恶意 HTML 代码。 3. 使用 NetData 仪表盘顶部导航栏右侧的“导入/加载 NetData 快照”功能导入新修改的快照。 4. 导入后,受害者将看到一个要求提供凭据的登录表单。 5. 输入后,攻击者可以在自己的服务器上以明文形式查看凭据。 PoC 示例代码 攻击示例