# 示例Web应用程序中的XSS漏洞
## 概述
Apache Tomcat 中的 Form 认证示例在示例 Web 应用程序中显示用户提供的数据时未进行过滤,导致 XSS 漏洞。
## 影响版本
- 10.1.0-M1 到 10.1.0-M16
- 10.0.0-M1 到 10.0.22
- 9.0.30 到 9.0.64
- 8.5.50 到 8.5.81
## 细节
该漏洞存在于示例 Web 应用程序中的 Form 认证示例中,用户提供的数据在显示时没有经过适当的过滤,导致攻击者可以通过跨站脚本 (XSS) 攻击注入恶意脚本。
## 影响
用户提供的数据未经过滤直接显示,攻击者可以利用此漏洞注入恶意脚本,导致 XSS 攻击。
是否为 Web 类漏洞: 是
判断理由:
| # | POC 描述 | 源链接 | 神龙链接 |
|---|---|---|---|
| 1 | Apache Tomcat 10.1.0-M1 to 10.1.0-M16, 10.0.0-M1 to 10.0.22, 9.0.30 to 9.0.64 and 8.5.50 to 8.5.81 default login credentials were successful. | https://github.com/projectdiscovery/nuclei-templates/blob/main/http/default-logins/apache/tomcat-examples-login.yaml | POC详情 |
| 2 | Apache Tomcat 8.5.50 to 8.5.81, 9.0.30 to 9.0.64, 10.0.0-M1 to 10.0.22, and 10.1.0-M1 to 10.1.0-M16 contain a reflected cross-site scripting caused by displaying unfiltered user data in the Form authentication example, letting attackers execute scripts in victim browsers, exploit requires attacker to craft malicious input. | https://github.com/projectdiscovery/nuclei-templates/blob/main/http/cves/2022/CVE-2022-34305.yaml | POC详情 |
暂无评论