关键信息 CVE编号: CVE-2020-14024 漏洞类型: Multiple Cross-Site Scripting (XSS) 受影响产品及版本: - 产品: Ozeki SMS Gateway - 版本: 4.17.6及以下 漏洞概述: - 在Ozeki SMS Gateway软件的多个页面和参数中存在XSS漏洞。 受影响URL/组件和参数 漏洞影响: - 攻击者可以利用这些XSS漏洞盗取用户的会话cookie,进而冒充用户、提供自定义HTML页面或表单,以盗取认证凭证或在受害者浏览器中执行加密货币挖掘。 概念验证(Proof Of Concept) 存储型XSS: - 在发件人、收件人以及组名字段进行注入,指令可执行JavaScript。例如: - 反射型XSS: - 在GET参数中注入如 等,以验证反射型XSS的发生。 - 攻击示例: