YiFangCMS 跨站脚本漏洞 (XSS) 总结 漏洞概述 YiFangCMS 2.0.3 版本在权限管理模块的 接口中存在跨站脚本 (XSS) 漏洞。攻击者可以通过构造恶意的 参数,将包含脚本的代码直接存储到数据库中。当管理员访问用户列表功能时,这些恶意脚本会被执行,从而导致 XSS 攻击。 影响范围 受影响软件: YiFangCMS 受影响版本: 2.0.3 受影响文件: 受影响功能: 权限管理 - 用户列表 (Permission management - user list feature) 修复方案 该漏洞产生的原因是 字段在存入数据库前未进行任何 HTML 转义处理。修复方案应确保在存储或输出用户输入数据时,对特殊字符(如 , , 等)进行正确的 HTML 实体编码或过滤。 漏洞利用代码 (POC) 1. 漏洞代码片段 (PHP) 2. 请求数据包 (Request Packet)