CVE-2021-47907— Rocket LMS 1.1 Persistent Cross-Site Scripting via Support Tickets

Rocket LMS 1.1 Persistent Cross-Site Scripting via Support Tickets

Rocket LMS 1.1 contains a persistent cross-site scripting vulnerability in the support ticket module that allows authenticated users to inject malicious script code through the title parameter. Attackers can submit support tickets with embedded HTML/JavaScript payloads that execute in the browsers of other users viewing the message history, enabling session hijacking and phishing attacks.

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:L/A:N

在Web页面生成时对输入的转义处理不恰当(跨站脚本)

Rocket LMS 跨站脚本漏洞

Rocket LMS是美国Rocket公司的一个集在线课程管理与学习互动功能于一体的教育平台系统。 Rocket LMS 1.1版本存在跨站脚本漏洞，该漏洞源于支持工单模块存在持久性跨站脚本漏洞，允许认证用户通过标题参数注入恶意脚本代码，攻击者可以提交包含HTML/JavaScript有效载荷的支持工单，这些工单在其他用户查看消息历史时执行，导致会话劫持和钓鱼攻击。

N/A

N/A