Projectsend r1295 存储型跨站脚本漏洞 (CVE-2021-47947) 漏洞概述 漏洞类型:存储型跨站脚本 (Stored Cross-Site Scripting) 漏洞编号:CVE-2021-47947 严重程度:中等 (Medium) 发布日期:2021年10月5日 CVSS 评分:4.0 (AV:N/AC:L/AT:N/PR:L/UI:R/PVC:N/VI:N/VA:N/SC:L/SI:L/SA:N) 影响范围 受影响软件:Projectsend 受影响版本:r1295 及以下版本 (Projectsend <= r1295) 受影响组件: 文件中的 参数 修复方案 官方修复:升级 Projectsend 至修复了该漏洞的版本。 临时缓解:由于该漏洞需要认证用户通过 Dashboard 页面上传文件,建议管理员加强权限管理,并定期审查上传的文件名。 漏洞描述 Projectsend r1295 存在一个存储型跨站脚本漏洞。攻击者可以通过在 的 参数中提交恶意的 JavaScript 代码,将脚本注入到文件名中。当其他用户(特别是系统管理员)在 Dashboard 页面查看该文件时,注入的脚本将在浏览器中执行,从而导致跨站脚本攻击。 参考链接 官方产品主页: https://www.projectsend.org/ 产品参考: https://www.projectsend.org/changelog/ ExploitDB**: https://www.exploit-db.com/exploits/50240