Leica Geosystems GNSS接收器存储型XSS漏洞(ZSL-2019-5503)

漏洞关键信息 标题: Leica Geosystems GR10/GR25/GR30/GR50 GNSS 4.30.063 JS/HTML Code Injection Advisory ID: ZSL-2019-5503 类型: Local/Remote 影响: Cross-Site Scripting (XSS) 风险: 3/5 发布日期: 05.01.2019 摘要 Leica GR10 是下一代 GNSS 参考站接收器，结合了最先进的技术，通过“即插即用”工作流程。为各种 GNSS 参考站应用设计，Leica GR10 提供了新的简单性、可靠性和性能水平。 描述 应用程序存在存储型 XSS 漏洞。问题是通过不受限制的文件上传触发的，允许攻击者上传 html 或 javascript 文件，该文件将存储在 中。这可以被利用在受影响站点的上下文中执行任意 HTML 和 JS 代码。 供应商 Leica Geosystems AG - https://www.leica-geosystems.com 影响版本 4.30.063 4.20.232 4.11.606 3.22.1818 3.10.1633 2.62.782 1.00.395 测试环境 BarracudaServer.com (WindowsCE) 供应商状态 N/A 演示 leica_xss.html 致谢 漏洞由 Gjoko Krstic 发现 - gjoko@zeroscience.mk 参考 1. https://www.zeroscience.mk/en/vulnerabilities/ZSL-2019-5502.php 2. https://www.exploit-db.com/exploits/46091 3. https://packetstormsecurity.com/files/151041 4. https://exchange.xforce.ibmcloud.com/vulnerabilities/155274 更新记录 [05.01.2019] - 初始发布 [14.01.2019] - 添加参考 [2]、[3] 和 [4] 联系 Zero Science Lab 网站: http://www.zeroscience.mk 电子邮件: lab@zeroscience.mk

目标达成 感谢每一位支持者 — 我们达成了 100% 目标！

Leica Geosystems GNSS接收器存储型XSS漏洞(ZSL-2019-5503)

目标达成感谢每一位支持者 — 我们达成了 100% 目标！