支持本站 — 捐款将帮助我们持续运营

目标:1000 元,已筹:736

73.6%
立即捐款
一、 漏洞 CVE-2023-53985 基础信息
漏洞信息
                                        # Zstore 6.5.4 XSS漏洞

N/A
神龙判断

是否为 Web 类漏洞: 未知

判断理由:

N/A
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
Zstore 6.5.4 - Reflected Cross-Site Scripting (XSS)
来源:美国国家漏洞数据库 NVD
漏洞描述信息
Zstore, now referred to as Zippy CRM, 6.5.4 contains a reflected cross-site scripting vulnerability that allows attackers to inject malicious scripts through unvalidated input parameters. Attackers can submit crafted payloads in manual insertion points to execute arbitrary JavaScript code in victim's browser context.
来源:美国国家漏洞数据库 NVD
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N
来源:美国国家漏洞数据库 NVD
漏洞类别
在Web页面生成时对输入的转义处理不恰当(跨站脚本)
来源:美国国家漏洞数据库 NVD
漏洞标题
Zippy-CRM 跨站脚本漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
Zippy-CRM是Leon个人开发者的一个具有Web界面的会计系统。 Zippy-CRM 6.5.4版本存在跨站脚本漏洞,该漏洞源于未验证输入参数,可能导致反射型跨站脚本攻击。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
跨站脚本
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2023-53985 的公开POC
#POC 描述源链接神龙链接
三、漏洞 CVE-2023-53985 的情报信息

  • 标题: Zstore 6.5.4 - Reflected Cross-Site Scripting (XSS) - PHP webapps Exploit -- 🔗来源链接

    标签:exploit

    神龙速读:
                                            从该网页截图中,我们可以提取到以下关于漏洞的关键信息:

- **漏洞类型:** Reflected Cross-Site Scripting (XSS)  
- **影响的软件及版本:** Zstore 6.5.4  
- **发现者:** nu11security  
- **发布日期:** 2023-04-03  
- **验证状态:** EDB Verified (未通过验证,标记为红色叉号)  
- **漏洞描述:** 在手动插入点1处输入的数据被直接复制到HTML文档中,作为标签之间的纯文本。提交payload `giflc<img src=a onerror=alert(1)>c0yu0` 时,该输入在应用程序的响应中未被修改地回显。  
- **证明与漏洞利用:** 提供了一个外部链接,让读者可以通过Streamable.com查看证明视频。  
- **相关参考:** 提供了一些链接,指向PortSwigger关于XSS反射的网页,以及开发者的主页等。  

此漏洞允许攻击者在受影响的Zstore版本中注入脚本,潜在地操控或窃取用户信息。
    Zstore 6.5.4 - Reflected Cross-Site Scripting (XSS) - PHP webapps Exploit

  • 标题: CRM система для складського обліку та торгівлі -- 🔗来源链接

    标签:product

    神龙速读:
                                            从提供的网页截图中,无法直接获取到关于漏洞的关键信息。此页面主要介绍Zippy CRM系统的特点和功能,包括其为仓库、贸易、服务和制造业设计的近义词,强调其根据乌克兰法律调整、针对小企业优化、具有开放式源代码、无限制免费使用等优势。页面还展示了项目的GitHub链接,概述了项目功能、集成能力、以及如何访问测试网站的登录凭证(admin/admin)。这些内容都与软件的功能和使用相关,未涉及安全漏洞的描述。如需了解系统可能存在的漏洞,通常需要查看软件的安全公告、漏洞数据库或进行专业的安全测试。
    CRM система для складського обліку та торгівлі

  • 标题: GitHub - leon-mbs/zstore: Облікова програма (склад, торгівля, виробництво) з веб-інтерфейсом -- 🔗来源链接

    标签:product

    神龙速读:
                                            ### 关键信息

- **项目名称**: Zippy-CRM
- **项目描述**: 一个针对小型企业的小型、贸易和生产管理的CRM系统,提供Web界面,适用于离线和在线使用。
- **技术栈**: 
  - 语言: PHP 100.0%
  - 技术要求: Apache, PHP 8.1+, Mysql 8.0+ (MariaDB)
- **功能**:
  - 仓库管理
  - 采购管理
  - 销售管理
  - 发票和账单管理
  - 访客管理与访问控制
  - 任务管理
  - 商品和服务管理
  - 生产管理
  - 工资管理系统
  - 等等
- **安装与配置**:
  - 需要创建一个数据库并执行SQL脚本`/db/db.sql`
  - 通过Composer安装第三方库,或使用预编译包
  - 配置文件位于`/config/config.php`
  - 设置基本参数如数据库连接和服务器配置
  - 安全措施: 修改默认管理员密码,启用写入权限

### 漏洞相关的关键信息:
- **版本控制**: 项目有811个提交记录,最近一次提交是2天前,可能的漏洞可能已被修复或尚未被发现。
- **开源项目**: 任何人都可以查看项目代码,有助于识别潜在漏洞。
- **依赖库**: 使用Composer管理外部依赖库,如果这些库存在安全漏洞,可能影响项目安全。
- **默认配置**: 强调需要修改默认管理员密码,防止未授权访问。
- **文件权限**: 需要正确设置`uploads`和`logs`文件夹的写权限,可能引发权限管理问题或文件上传漏洞。
- **开发环境**: 使用Apache和PHP,需关注这些技术栈可能存在的安全问题。
    GitHub - leon-mbs/zstore: Облікова програма (склад, торгівля, виробництво) з веб-інтерфейсом

  • 标题: CVE-nu11secur1ty/vendors/zippy/zstore-6.5.4 at main · nu11secur1ty/CVE-nu11secur1ty · GitHub -- 🔗来源链接

    标签:technical-description

    神龙速读:
                                            ### 关键漏洞信息

#### 漏洞描述
The value of manual insertion point 1 is copied into the HTML document as plain text between tags. The payload `giflc0yu0` was submitted in the manual insertion point 1. This input was echoed unmodified in the application's response.

#### 漏洞状态
**STATUS: HIGH Vulnerability**

#### 利用方法
```plaintext
GET /index.php?p=App%2fPages%2fChatgifIc%3c%61%20%68%72%65%66%3d%22%68%74%70%73%3a%2f%2f777772%6e...
Host: store.zippy.com.ua
...
Referer: https://store.zippy.com.ua/index.php?q=p:App/Pages/Main
```

#### 证明和利用
- **Proof and Exploit**: [Link](href)

#### 参考
- **Reference**: [Link](href)
    CVE-nu11secur1ty/vendors/zippy/zstore-6.5.4 at main · nu11secur1ty/CVE-nu11secur1ty · GitHub

  • 标题: Zstore 6.5.4 - Reflected Cross-Site Scripting (XSS) | Advisories | VulnCheck -- 🔗来源链接

    标签:third-party-advisory

    神龙速读:
                                            从该网页截图中可以获取到以下关于漏洞的关键信息:

- **严重性 (Severity)**: Medium
- **日期 (Date)**: January 13, 2026
- **受到影响版本 (Affecting)**: Zstore 6.5.4
- **CVE编号**: CVE-2023-53985
- **CWE编号**: CWE-79 Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting')
- **CVSS评分和向量**: CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:A/VC:N/VI:N/VA:N/SC:L/SI:L/SA:N
- **攻防利用DB编号**: ExploitDB-51207
- **相关链接**: 
    - Zstore/Zippy-CRM Product Homepage
    - Zstore/Zippy-CRM GitHub Repository
    - Vulnerability Reproduction Repository
- **贡献者 (Credit)**: nu11secur1ty

- **描述(Descrition)**:
    Zstore, now referred to as Zippy CRM, 6.5.4 contains a reflected cross-site scripting vulnerability that allows attackers to inject malicious scripts through unvalidated input parameters. Attackers can submit crafted payloads in manual insertion points to execute arbitrary JavaScript code in victim's browser context.
    Zstore 6.5.4 - Reflected Cross-Site Scripting (XSS) | Advisories | VulnCheck
  • https://nvd.nist.gov/vuln/detail/CVE-2023-53985
四、漏洞 CVE-2023-53985 的评论
匿名用户
2026-01-15 06:08:43

Zaproxy alias impedit expedita quisquam pariatur exercitationem. Nemo rerum eveniet dolores rem quia dignissimos.

发表评论