search

maccmspro / maccms10

苹果cms-v10,maccms-v10,麦克cms,开源cms,内容管理系统,视频分享程序,分集剧情程序,网址导航程序,文章程序,漫画程序,图片程序
Apache License 2.0
648 stars 127 forks source link

XSS #18

Closed Inkqaqz closed 2 years ago

Inkqaqz commented 2 years ago

进入后台,点击基础-->友链管理-->添加,在名称处link_name[]插入payload:test”><img/src=1 onerror=alert(1)> 图片 点击保存,成功触发XSS,此外,该处也存在CSRF漏洞,可以结合CSRF漏洞进行利用 图片

maccmspro commented 2 years ago

感谢,已统一修复