支持本站 — 捐款将帮助我们持续运营

目标:1000 元,已筹:736

73.6%
立即捐款
一、 漏洞 CVE-2021-47834 基础信息
漏洞信息
                                        # Schlix CMS 2.2.6-6 持续XSS漏洞

N/A
神龙判断

是否为 Web 类漏洞: 未知

判断理由:

N/A
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
Schlix CMS 2.2.6-6 - 'title' Persistent Cross-Site Scripting (Authenticated)
来源:美国国家漏洞数据库 NVD
漏洞描述信息
Schlix CMS 2.2.6-6 contains a persistent cross-site scripting vulnerability that allows authenticated users to inject malicious scripts into category titles. Attackers can create a new contact category with a script payload that will execute when the page is viewed by other users.
来源:美国国家漏洞数据库 NVD
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:L/A:N
来源:美国国家漏洞数据库 NVD
漏洞类别
在Web页面生成时对输入的转义处理不恰当(跨站脚本)
来源:美国国家漏洞数据库 NVD
二、漏洞 CVE-2021-47834 的公开POC
#POC 描述源链接神龙链接
三、漏洞 CVE-2021-47834 的情报信息

  • 标题: SCHLIX - Free CMS, blog and website builder (open source) for PHP/MySQL -- 🔗来源链接

    标签:product

    神龙速读:
                                            从这个网页截图中,关于漏洞的关键信息主要有以下几点:

- **最新版本和更新**:当前版本为v2.2.9-5,最后更新日期为2025年12月2日。定期的更新可能意味着对已知漏洞的修复。

- **安全性声明**:页面强调“Built with security in mind”,表明开发者重视安全性。提到了代码的安全性、快速的更新交付以及自动更新功能,暗示对于安全漏洞的及时响应。

- **自动更新功能**:系统能够自动更新并确保不覆盖自定义修改,这有助于及时修补漏洞,同时保持用户个性化配置。

- **开源和文档支持**:作为开源CMS,通过合理的社区维护和文档支持,有助于透明地识别和修复漏洞。

这些信息虽然没有直接提到具体的漏洞,但可以推测,保持及时更新和利用其安全性特性是使用SCHLIX CMS时减少漏洞影响的重要方式。

**注意**:出于安全考虑,建议定期关注官方发布的安全公告和补丁信息,并尽快应用。
    SCHLIX - Free CMS, blog and website builder (open source) for PHP/MySQL

  • 标题: Schlix CMS 2.2.6-6 - 'title' Persistent Cross-Site Scripting (Authenticated) - Multiple webapps Exploit -- 🔗来源链接

    标签:exploit

    神龙速读:
                                            ### 漏洞关键信息

- **漏洞标题**: Schlix CMS 2.2.6-6 - 'title' Persistent Cross-Site Scripting (Authenticated)
- **EDB-ID**: 49837
- **CVE**: N/A
- **作者**: EMIRCAN BAS
- **类型**: WEBAPPS
- **平台**: MULTIPLE
- **日期**: 2021-05-06
- **易受攻击的应用**: Schlix CMS 2.2.6-6

#### 漏洞详情

- **目标**: Schlix CMS 2.2.6-6 版本
- **测试环境**: Windows & WampServer
- **步骤**:
  1. 使用账户登录。
  2. 转到联系人部分,目录是'/admin/app/contact'。
  3. 创建一个新类别,并在类别标题中输入XSS payload。
  4. 当访问创建的页面时,XSS payload将被执行。

#### HTTP请求示例

```POST /admin/app/contacts?action=savecategory HTTP/1.1
Host: (HOST)
...
Content-Disposition: form-data; name="title"
<script>alert(1)</script>
...
```
    Schlix CMS 2.2.6-6 - 'title' Persistent Cross-Site Scripting (Authenticated) - Multiple webapps Exploit

  • 标题: Schlix CMS 2.2.6-6 - 'title' Persistent Cross-Site Scripting (Authenticated) | Advisories | VulnCheck -- 🔗来源链接

    标签:third-party-advisory

    神龙速读:
                                            ### Key Vulnerability Information

- **Title**: Schlix CMS 2.2.6-6 - 'title' Persistent Cross-Site Scripting (Authenticated)
- **Severity**: Medium
- **Date**: January 16, 2026
- **Affected**: Schlix CMS 2.2.6-6
- **CVE**: CVE-2021-47834
- **CWE**: CWE-79 Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting')
- **CVSS**: 5.4/AV:N/AC:L/AT:N/PR:L/UI:P/VC:L/VI:L/VA:N/SC:L/SI:L/SA:N
- **References**:
  - ExploitDB-49837
  - Vendor Homepage
- **Credit**: Emircan Baş
- **Description**: Schlix CMS 2.2.6-6 contains a persistent cross-site scripting vulnerability that allows authenticated users to inject malicious scripts into category titles. Attackers can create a new contact category with a script payload that will execute when the page is viewed by other users.
    Schlix CMS 2.2.6-6 - 'title' Persistent Cross-Site Scripting (Authenticated) | Advisories | VulnCheck
  • https://nvd.nist.gov/vuln/detail/CVE-2021-47834
四、漏洞 CVE-2021-47834 的评论

暂无评论

发表评论