关键信息 漏洞标题: YouPHPTube <= 7.8 - Multiple Vulnerabilities EDB-ID: 51101 CVE: N/A 作者: Rafael Pedrero 类型: WEBAPPS 平台: PHP 日期: 2023-03-28 易受攻击的应用: YouPHPTube 漏洞类型: LFI + Path Traversal, Reflected Cross-Site Scripting (XSS) CVSS v3: 7.5 (LFI), 6.5 (XSS) CWE: CWE-829, CWE-22 (LFI), CWE-79 (XSS) 测试版本: 7.8 测试环境: Windows 7, 10 using XAMPP 漏洞描述 LFI + Path Traversal 问题: YouPHPTube v7.8允许未经授权的目录访问。 参数: "lang" 可以被修改并加载服务器上的PHP文件。 利用示例: Reflected Cross-Site Scripting (XSS) 问题: YouPHPTube 7.8及以下版本未充分编码用户控制的输入,导致通过 参数的反射型XSS漏洞。 利用示例: