以下是关于此漏洞的关键信息,从截图中的Markdown内容中提取: 漏洞标题:跨站脚本(XSS) 日期:2025年10月12日 漏洞作者:Emirhan Yücel 软件供应商:https://subrion.org/ 软件链接:https://subrion.org/ 版本:4.2.1 测试于:Windows系统 PoC - 反射XSS:在Subrion CMS 4.2.1的安装表单中 目标:http://127.0.0.1/subrion_cms_4.2.1/install/install/configuration/ 漏洞类型:安装表单字段中的反射跨站脚本(XSS) 受影响参数示例: , , (在您的POST请求中显示的字段) 例子HTTP POST:(来自您的捕获) 概念验证步骤 1. 在浏览器中打开安装页面:http://127.0.0.1/subrion_cms_4.2.1/install/install/configuration/ 2. 在任何数据库相关的输入(数据库用户名、数据库名称、数据库密码)中输入以下负载:" "> 3. 提交安装表单(下一步/继续)。 若易受攻击,负载将被呈现,浏览器将显示带有"emirhanyucel"(指示JavaScript执行)的警报对话框。 技术说明:从安装字段的输入出现在响应中,没有适当的HTML编码或清理。由于没有中和化,一个攻击者提供的SVG元素与onload执行,产生一个反射XSS。 影响 / 风险:在安装页面中任意执行JavaScript。