关键信息总结 漏洞描述 漏洞类型: 跨站脚本 (Cross Site Scripting, XSS) - 非持久性 CVSS评分: 5 影响的产品 产品名称: PHP Melody v3.0 - Video CMS (Web Application) 服务介绍: 这是一个用于上传、导入、流媒体和发布任何媒体的视频CMS 漏洞时间线 发现日期: 2021-09-01 公共披露日期: 2021-10-20 漏洞利用条件 利用类型: 远程 严重程度: 中等 身份验证类型: 预认证 (无需特权或会话) 技术细节与描述 受影响文件: - categories.php - import-user.php - import.php 易受攻击的参数: - move - username - keyword 易受攻击的模块: 状态消息和异常 漏洞利用概念证明 (PoC) 使用JavaScript注入,如 ,通过参数 、 、 进行XSS攻击。 攻击点位于GET请求的参数处理中,攻击会导致非持久性XSS攻击。 解决方案和修复 对易受攻击的参数进行编码、转义或过滤 禁用特殊字符的使用 对状态消息和错误消息进行清理以防止执行点 使用安全头和Web防火墙 参考链接 漏洞实验室报告: https://www.vulnerability-lab.com/get_content.php?id=2290 官方公告: https://www.phpsugar.com/blog/2021/09/php-melody-3-0-vulnerability-report-fix/