支持本站 — 捐款将帮助我们持续运营

目标:1000 元,已筹:752

75.2%
立即捐款
一、 漏洞 CVE-2019-12935 基础信息
漏洞信息
                                        # N/A

## 概述
Shopware在5.5.8之前的版本中存在跨站脚本攻击(XSS)漏洞,通过QueryString攻击后台登录接口。

## 影响版本
Shopware 5.5.8之前的版本

## 细节
攻击者可以通过构造恶意的QueryString对`backend/Login`或`backend/Login/load/` URI发起攻击,从而注入恶意脚本。

## 影响
此漏洞允许攻击者执行跨站脚本攻击,可能窃取用户会话信息或操作用户账户。
神龙判断

是否为 Web 类漏洞:

判断理由:

是。这个漏洞是Shopware在5.5.8之前版本中的一个服务端跨站脚本(XSS)漏洞,攻击者可以通过向`backend/Login`或`backend/Login/load/`URI发送特定的查询字符串来利用此漏洞,从而执行任意脚本代码。
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
N/A
来源:美国国家漏洞数据库 NVD
漏洞描述信息
Shopware before 5.5.8 has XSS via the Query String to the backend/Login or backend/Login/load/ URI.
来源:美国国家漏洞数据库 NVD
CVSS信息
N/A
来源:美国国家漏洞数据库 NVD
漏洞类别
N/A
来源:美国国家漏洞数据库 NVD
漏洞标题
Shopware 跨站脚本漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
Shopware是德国Shopware公司的一套开源电子商务软件。 Shopware 5.5.8之前版本中存在跨站脚本漏洞。该漏洞源于WEB应用缺少对客户端数据的正确验证。攻击者可利用该漏洞执行客户端代码。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
跨站脚本
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2019-12935 的公开POC
#POC 描述源链接神龙链接
1Shopware before 5.5.8 contains a reflected cross-site scripting (XSS) caused by unsanitized query string parameters in the backend/Login or backend/Login/load/ URI, letting attackers execute arbitrary scripts in the context of the victim's browser, exploit requires sending crafted URL to the victim. https://github.com/projectdiscovery/nuclei-templates/blob/main/http/cves/2019/CVE-2019-12935.yamlPOC详情
三、漏洞 CVE-2019-12935 的情报信息
四、漏洞 CVE-2019-12935 的评论

暂无评论

发表评论