一、 漏洞 CVE-2022-50937 基础信息
漏洞信息
# Ametys CMS 4.4.1 XSS漏洞
N/A
神龙判断
是否为 Web 类漏洞: 未知
判断理由:
N/A
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
Ametys CMS v4.4.1 - Cross Site Scripting (XSS)
来源:美国国家漏洞数据库 NVD
漏洞描述信息
Ametys CMS v4.4.1 contains a persistent cross-site scripting vulnerability in the link directory's input fields for external links. Attackers can inject malicious script code in link text and descriptions to execute persistent attacks that compromise user sessions and manipulate application modules.
来源:美国国家漏洞数据库 NVD
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:L/I:L/A:N
来源:美国国家漏洞数据库 NVD
漏洞类别
在Web页面生成时对输入的转义处理不恰当(跨站脚本)
来源:美国国家漏洞数据库 NVD
漏洞标题
Ametys CMS 跨站脚本漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
Ametys Cms是Ametys社区的用于在同一台服务器上运行大型企业网站,博客,Intranet 和 Extranet。一个用 Java 编写的免费开源内容管理系统。 Ametys CMS v4.4.1版本存在跨站脚本漏洞,该漏洞源于链接目录的输入字段存在存储型跨站脚本,可能导致攻击者注入恶意脚本代码。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
跨站脚本
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2022-50937 的公开POC
| # | POC 描述 | 源链接 | 神龙链接 |
|---|
三、漏洞 CVE-2022-50937 的情报信息
标题: Ametys CMS v4.4.1 - Cross Site Scripting (XSS) - Java webapps Exploit -- 🔗来源链接
标签:exploit
神龙速读:# 漏洞关键信息 ## 漏洞概况 - **漏洞标题**: Ametys CMS v4.4.1 - Cross Site Scripting (XSS) - **Edb-ID**: 50692 - **CVE**: N/A - **作者**: VULNERABILIT Y-LAB - **类型**: WEBAPPS - **平台**: JAVA - **发布日期**: 2022-02-02 - **漏洞应用**: Ametys CMS ## 漏洞细节 - **漏洞类别**: Cross Site Scripting - Persistent - **当前估计价格**: 500€ - 1.000€ - **受影响的产品**: Ametys v4.4.1 - Content Management System (Web-Application) ## 漏洞描述 - **严重性**: 中等 - **利用类型**: 远程 - **漏洞描述**: Ametys CMS v4.4.1中存在一个持久的脚本注入漏洞,位于链接目录的输入字段中(链接文本、简短描述和描述)。该漏洞允许远程攻击者在不进行输入验证的情况下注入恶意脚本代码,导致浏览器会话劫持、持续的钓鱼攻击、持续的外部重定向、对恶意源的持久操纵以及对受影响的应用程序模块的持久操纵。 ## 利用方式 - **请求方法**: POST - **易受攻击的模块**: - Link Directory (Add) - Frontend (Main Link Listing) - Backend (Link Directory) - **易受攻击的参数**: 链接文本、简短描述和描述 - **利用PoC**: - `<a onmouseover=alert(document.domain)>poc_link</a>` - `<a onmouseover=alert(document.cookie)>poc_link</a>` ## 解决方案 - **修复方案**: 通过安全解析和编码输入字段来修复漏洞,并在外部链接添加功能中限制特殊字符以防止进一步的攻击。 - 同时,前端和后端显示的链接需要正确地进行输出位置清理。 ## 公开披露时间线 - 2021-07-24: 研究者通知 - 2021-07-25: 供应商通知 - 2021-**-**: 供应商响应/反馈 - 2021-**-**: 供应商修复/补丁 - 2021-**-**: 安全确认 - 2022-01-12: 公开披露
- https://www.vulnerability-lab.com/get_content.php?id=2275vendor-advisory
标题: Overview - CMS Java Open Source -- 🔗来源链接
标签:product
神龙速读:从这张网页截图中,我们可以获取到以下关于漏洞的关键信息: ### 关键信息 - **开源平台**: Ametys Portal 是一个开源解决方案,可能会存在已知的开源软件漏洞。 - **扩展性和自定义**: 支持多种框架(如 AngularJS、Bootstrap 等)和插件,可能存在插件或框架相关的安全漏洞。 - **用户角色和权限管理**: 提到 "granular user roles and access permissions",在权限管理机制上可能存在漏洞,如权限提升或访问控制绕过。 - **社区和资源**: 提供了社区、论坛和 Wiki 等资源,可能存在用户生成内容相关的安全问题,如 XSS 或 CSRF。 ### 建议行动 - **定期更新**: 确保平台和所有插件保持最新版本,以修复已知漏洞。 - **安全审计**: 对自定义开发和扩展代码进行安全审计。 - **权限最小化**: 确保用户角色和权限严格控制,遵循最小权限原则。
标题: Ametys CMS v4.4.1 - Cross Site Scripting (XSS) | Advisories | VulnCheck -- 🔗来源链接
标签:third-party-advisory
神龙速读:### Key Information from the Webpage Screenshot #### Severity - Medium #### Date - January 13, 2026 #### Affecting - Ametys CMS 4.4.1 #### CVE ID - CVE-2022-50937 #### CWE ID - CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') #### CVSS Score - 4.0/AV:N/AC:L/AT:N/PR:L/UI:P/VC:L/VI:L/VA:N/SC:L/SI:L/SA:N #### References - ExploitDB-50692 - Vulnerability Lab Advisory - Official Ametys CMS Homepage #### Credit - Vulnerability-Lab #### Description - Ametys CMS v4.4.1 contains a **persistent cross-site scripting vulnerability** in the link directory's input fields for external links. Attackers can inject malicious script code in link text and descriptions to execute persistent attacks that compromise user sessions and manipulate application modules.
- https://nvd.nist.gov/vuln/detail/CVE-2022-50937
四、漏洞 CVE-2022-50937 的评论
匿名用户
2026-01-15 06:08:46Zaproxy alias impedit expedita quisquam pariatur exercitationem. Nemo rerum eveniet dolores rem quia dignissimos.