漏洞概述 漏洞标题: Joomla HikaShop 4.7.4 - Reflected XSS EDB-ID: 51679 CVE编号: N/A 作者: CRACKER 类型: WEBAPPS 平台: PHP 发布日期: 2023-07-23 影响: 操纵网站内容 (Manipulate the content of the site) 影响范围 软件厂商: Hikari Software Team 软件名称: HikaShop (Joomla Extension) 受影响版本: 4.7.4 受影响参数: POC/Exploit代码 Payload: 利用示例 (URL): (注:[XSS] 处替换为上述Payload) 修复方案 该漏洞为反射型XSS(Reflected XSS),建议采取以下措施: 1. 输入过滤: 对所有GET参数(特别是 , , , )进行严格的输入验证和过滤,禁止HTML标签和JavaScript事件处理器(如 )。 2. 输出转义: 在将用户输入的数据输出到HTML页面之前,进行适当的HTML实体编码(HTML Entity Encoding)。 3. 更新软件: 升级到HikaShop的最新安全版本。