文档标题: WebMO Job Manager v20.0 - Cross Site Web Vulnerability 参考链接: https://www.vulnerability-lab.com/get_content.php?id=2270 发布日期: 2021-06-21 漏洞实验室ID (VL-ID): 2270 通用漏洞评分系统: 4.1 漏洞类别: Cross Site Scripting - Non Persistent 当前预估价格: 500€ - 1.000€ 产品与服务介绍: WebMO是一个基于Web的计算化学包接口,允许用户在Web浏览器、智能手机或平板电脑上设置、运行和可视化化学计算 摘要建议信息: 漏洞实验室研究团队在WebMO Job Manager v20.0应用中发现了一个反映的跨站脚本漏洞 受影响的产品: WebMO, LLC Product: WebMO Job Manager v20.0 - CGI (Web-Application) 漏洞披露时间表: 2021-04-08至2021-07-16 发现状态: 已发布 利用技术: 远程 严重程度: 中等 验证类型: 预认证(无特权或会话) 用户交互: 低用户交互 披露类型: 全披露 技术细节及描述: 漏洞位于jobmgr.cgi文件的filterSearch和filterSearchType参数中,攻击者可以通过GET请求注入恶意脚本代码以操纵客户端应用程序请求,导致用户会话数据泄露 易受攻击的模块: Search 易受攻击的文件: jobmgr.cgi 易受攻击的参数: filterSearch, filterSearchType 概念验证: 提供了完整的概念验证和利用方式 安全风险: 客户端跨站脚本Web漏洞的中等安全风险 致谢与作者: 漏洞实验室研究团队