关键信息 漏洞名称: Tryton 5.4 - Persistent Cross-Site Scripting EDB-ID: 48466 CVE: N/A 作者: Vulnerability-Lab 类型: WEBAPPS 平台: PHP 日期: 2020-05-13 受影响的产品: Tryton v5.4 - CMS (Web-Application) 漏洞披露时间线: - 2020-05-12: 公开披露 (Vulnerability Laboratory) 技术细节与描述 漏洞类型: 持久性输入验证网络漏洞 影响模块: 'User Profile' 模块 请求方法: POST 漏洞模块: User Profile 漏洞输入: Name 漏洞参数: name 受影响模块: /index, /model/res.user;name="Users"&views (backend) Proof of Concept (PoC) Payload: 执行点: Name 输入字段 手动步骤: 1. 打开应用程序并登录到您的低特权用户帐户 2. 移动到右上角的个人资料 3. 在 "Name" 输入字段中注入测试有效载荷并保存条目 4. 在右上角的 和管理后端中保存后发生执行 作者信息 Vulnerability-Lab: - URL: https://www.vulnerability-lab.com/show.php?user=Vulnerability-Lab Benjamin Kunz Mejri: - URL: https://www.vulnerability-lab.com/show.php?user=Benjamin%20K.M.