从这个网页截图中,可以获取到以下关于漏洞的关键信息: 1. 漏洞描述: - 漏洞编号:CVE-2024-42904 - 受影响版本:SysPass <= v3.2.x - 问题:在账户创建过程中,客户端名称未被正确清理,导致存储型XSS(Stored-XSS)漏洞。 2. PoC(Proof of Concept): - 攻击步骤: 1. 创建新账户并指定以下XSSpayload作为客户端名称:"id=x tabindex=1 onfocus=alert(1)" 2. 创建的账户将触发存储在每个页面中的JavaScript执行。 3. 参考链接: - CVE详细信息:https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2024-42904 - 漏洞代码位置:https://github.com/nuxsmin/sysPass/blob/9d0e169d2163897238877fb65130db47fe1ddcfa/app/modules/api/Controllers/ClientController.php#L89 - 漏洞代码位置:https://github.com/nuxsmin/sysPass/blob/master/lib/SP/DataModel/ClientData.php#L98 这些信息可以帮助理解漏洞的性质、攻击方法以及如何利用漏洞进行攻击。