漏洞概述 漏洞名称: Stored XSS via Unescaped Plugin Configuration Values in Admin Panel CVE编号: CVE-2024-34396 CVSS评分: 6.1 (Medium) 漏洞类型: 存储型XSS + CSRF链式攻击 核心问题: AVideo后台管理面板的 文件中的 函数在渲染插件配置值时未进行HTML转义,导致攻击者可注入恶意JavaScript代码。 具体注入点: 第47行: textarea内容直接插入,无编码 第55行: select option的key和value未编码 第62-63行: input的type和value属性未转义 第75行: 备用input的value属性未编码 --- 影响范围 攻击后果: 窃取管理员会话Cookie和CSRF令牌 创建新管理员账户 修改站点配置(启用文件上传、禁用安全功能) 通过站点设置向公共页面注入持久化JavaScript 通过插件上传功能实现服务器端代码执行 --- 利用代码 (POC) 方法1: 直接利用(需要管理员会话) 方法2: 跨源CSRF链(无需认证) 渲染后的恶意HTML: --- 修复方案 对所有 中的用户控制值应用 :