一、 漏洞 CVE-2021-47808 基础信息
漏洞信息
# Cotonti Siena 0.9.19 存储型XSS漏洞
N/A
神龙判断
是否为 Web 类漏洞: 未知
判断理由:
N/A
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
Cotonti Siena 0.9.19 - 'maintitle' Stored Cross-Site Scripting
来源:美国国家漏洞数据库 NVD
漏洞描述信息
Cotonti Siena 0.9.19 contains a stored cross-site scripting vulnerability in the admin configuration panel's site title parameter. Attackers can inject malicious JavaScript code through the 'maintitle' parameter to execute scripts when administrators view the page.
来源:美国国家漏洞数据库 NVD
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:L/I:L/A:N
来源:美国国家漏洞数据库 NVD
漏洞类别
在Web页面生成时对输入的转义处理不恰当(跨站脚本)
来源:美国国家漏洞数据库 NVD
二、漏洞 CVE-2021-47808 的公开POC
| # | POC 描述 | 源链接 | 神龙链接 |
|---|
三、漏洞 CVE-2021-47808 的情报信息
- https://cotonti.comproduct
标题: Cotonti Siena 0.9.19 - 'maintitle' Stored Cross-Site Scripting - PHP webapps Exploit -- 🔗来源链接
标签:exploit
神龙速读:### 关键信息 - **漏洞标题**: Cotonti Siena 0.9.19 - 'maintitle' Stored Cross-Site Scripting - **EDB-ID**: 50016 - **CVE**: N/A - **作者**: Fatih İlgin - **类型**: WEBAPPS - **平台**: PHP - **日期**: 2021-06-16 - **易受攻击的应用**: Cotonti Siena 0.9.19 - **测试平台**: Windows 10 ### 漏洞细节 - **易受攻击的参数类型**: POST - **易受攻击的参数**: maintitle - **攻击模式**: `"><img src=1 href=1 onerror="javascript:alert(1)"></img>` ### 描述 1. 进入管理面板 (vulnerableapplication.com/cotonti/admin.php) ### 请求 ```plaintext POST /cotonti/admin.php HTTP/1.1 Host: vulnerableapplication.com User-Agent: Firefox/78.0 Accept: */* Accept-Language: en-US,en;q=0.5 Accept-Encoding: gzip, deflate Content-Type: application/x-www-form-urlencoded; charset=UTF-8 X-Requested-With: XMLHttpRequest Content-Length: 440 Origin: https://vulnerableapplication.com Connection: close Referer: https://vulnerableapplication/cotonti/admin.php?m=config&n=edit&o=core&p=title ... ``` ### 响应 ```plaintext HTTP/1.1 200 OK Date: Tue, 15 Jun 2021 16:00:00 GMT Server: Apache Expires: Mon, Apr 01 1974 00:00:00 GMT Cache-Control: no-store, no-cache, must-revalidate, post-check=0, pre-check=0 Pragma: no-cache Last-Modified: Tue, 15 Jun 2021 04:00:00 GMT Vary: Accept-Encoding X-Robots-Tag: noindex, nofollow Content-Length: 4366 Connection: close Content-Type: text/html; charset=UTF-8 ... ```
标题: Download - Cotonti -- 🔗来源链接
标签:product
神龙速读:### 漏洞关键信息 - **版本信息**: - Cotonti Siena 0.9.25 (最新版本) - Cotonti Genoa 0.6.25 (长期支持更新) - **发布日期**: - Cotonti Siena 0.9.25 发布于 2024 年 9 月 3 日 - **安全性更新**: - Cotonti Siena 0.9.11: 重要安全更新和修复 - Cotonti Siena 0.9.9: 安全更新 - **维护和修复**: - Cotonti Siena 0.9.14: 重要的安全性和稳定性更新 - Cotonti Siena 0.9.12.1: 许多 bug 修复的次要更新 - Cotonti Siena 0.9.5: 修复了许多 bug - Cotonti Genoa 0.6.25: 包含一些重要的安全和稳定性修复 - **重要事项**: - Cotonti Siena 0.9.20 提供 PHP 8.0 支持 - Cotonti Siena 0.9.18 包括 Siena 系列中的 18 次更新
标题: Cotonti Siena 0.9.19 - 'maintitle' Stored Cross-Site Scripting | Advisories | VulnCheck -- 🔗来源链接
标签:third-party-advisory
神龙速读:- **CWE**: CWE-79 - **Severity**: MEDIUM - **Date**: January 15, 2026 - **CVSS**: 4.0 (CVSS:3.0/AV:N/AC:L/AT:N/PR:L/UI:P/VC:L/VI:L/VA:N/SC:L/SI:L/SA:N) - **Description**: Cotonti Siena 0.9.19 contains a stored cross-site scripting vulnerability in the admin configuration panel's site title parameter. Attackers can inject malicious JavaScript code through the 'maintitle' parameter to execute scripts when administrators view the page.
- https://nvd.nist.gov/vuln/detail/CVE-2021-47808
四、漏洞 CVE-2021-47808 的评论
暂无评论