一、 漏洞 CVE-2021-47844 基础信息
漏洞信息
# Xmind 2020 持久型XSS漏洞
N/A
神龙判断
是否为 Web 类漏洞: 未知
判断理由:
N/A
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
Xmind 2020 - Persistent Cross-Site Scripting
来源:美国国家漏洞数据库 NVD
漏洞描述信息
Xmind 2020 contains a cross-site scripting vulnerability that allows attackers to inject malicious payloads into mind mapping files or custom headers. Attackers can craft malicious files with embedded JavaScript that execute system commands when opened, enabling remote code execution through mouse interactions or file opening.
来源:美国国家漏洞数据库 NVD
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N
来源:美国国家漏洞数据库 NVD
漏洞类别
在Web页面生成时对输入的转义处理不恰当(跨站脚本)
来源:美国国家漏洞数据库 NVD
二、漏洞 CVE-2021-47844 的公开POC
| # | POC 描述 | 源链接 | 神龙链接 |
|---|
三、漏洞 CVE-2021-47844 的情报信息
标题: Xmind 2020 - Persistent Cross-Site Scripting - Multiple webapps Exploit -- 🔗来源链接
标签:exploit
神龙速读:## Xmind 2020 - Persistent Cross-Site Scripting 漏洞信息 - **EDB-ID**: 49827 - **CVE**: N/A - **Author**: TaurusOmar - **Type**: WEBAPPS - **Platform**: MULTIPLE - **Date**: 2021-05-05 - **Exploit**: N/A - **Vulnerable App**: Xmind - **Vendor Homepage**: https://www.xmind.net/ - **Version**: 2020 - **Tested on**: Windows, Linux, MacOS ### 漏洞描述 - **Title**: Xmind 2020 - XSS to RCE - **Date**: May 4th, 2021 - **CVSS**: 3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H - **Risk**: High (8.8) ### 代码示例 - **Payload 1**: 可执行 `/etc/passwd` 文件 - **Payload 2**: 可执行 `calc` 运算器 ### 其他 - **Contains**: 返回详细编码的 Payload 代码示例 - **可能的问题**: `child_process` 和 `process_wrap` 中的执行命令 - **可能适合**: XSS 测试与验证
标题: - GIF - Imgur -- 🔗来源链接
标签:exploit
神龙速读:- **Screen Content**: The screenshot displays a consent dialog from Imgur, primarily focused on data usage policies. - **Key Information**: - Imgur requests consent for using personal data for personalized advertising, content, measurement, audience research, service development, and storing/accessing information on devices. - It mentions sharing data with 168 TCF vendors and 80 ad partners. - Users are provided options to manage or consent to data processing. - **Relevance to Vulnerabilities**: No apparent vulnerabilities are directly highlighted in the screenshot. It primarily addresses data privacy and consent rather than security flaws.
- https://www.xmind.net/product
标题: Xmind 2020 - Persistent Cross-Site Scripting | Advisories | VulnCheck -- 🔗来源链接
标签:third-party-advisory
神龙速读:从该网页截图中,可以获取到以下关于漏洞的关键信息: - **标题**: Xmind 2020 - Persistent Cross-Site Scripting - **类型**: Advisories - **严重性**: MEDIUM - **日期**: January 16, 2026 - **影响版本**: Xmind 2020 - **CVE编号**: CVE-2021-47844 - **CWEN编号**: CWE-79 Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') - **CVSS评分**: **CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:P/VC:L/VI:L/VA:N/SC:L/SI:L/SA:N** - **相关链接**: - https://www.exploit-db.com/exploits/49827 - https://www.xmind.net/ - Proof of Concept Video - **发现者**: TaurusOmar - **描述**: Xmind 2020存在一个跨站脚本漏洞,允许攻击者在思维导图文件或自定义头部中注入恶意payload。攻击者可以制作带有嵌入JavaScript的恶意文件,当打开时可执行系统命令,通过鼠标交互或文件打开实现远程代码执行。
- https://nvd.nist.gov/vuln/detail/CVE-2021-47844
四、漏洞 CVE-2021-47844 的评论
暂无评论