一、 漏洞 CVE-2023-54341 基础信息

                                        # Webgrind 1.1 XSS 漏洞

## 概述  
Webgrind 1.1 及更早版本存在反射型跨站脚本（XSS）漏洞，攻击者可通过 index.php 的 file 参数注入恶意脚本。

## 影响版本  
Webgrind 1.1 及之前版本

## 细节  
漏洞位于 index.php 文件中，对用户输入的 `file` 参数未进行充分的输入编码和过滤。攻击者可构造恶意 URL，将 JavaScript 代码注入 HTTP 请求，服务器将其原样反射回响应中，导致在受害者浏览器中执行。

## 影响  
未经身份验证的攻击者可诱使用户访问特制链接，在受害者浏览器中执行任意 JavaScript 代码，可能导致会话劫持、敏感信息泄露或恶意操作。
                                        

二、漏洞 CVE-2023-54341 的公开POC

三、漏洞 CVE-2023-54341 的情报信息

• 标题： Webgrind 1.1 - Reflected Cross-Site Scripting (XSS) & Remote Command Execution (RCE) - PHP webapps Exploit -- 🔗来源链接

  标签：exploit

  神龙速读：

                                          ### 关键信息摘要
  
  - **漏洞名称:** Webgrind 1.1 - Reflected Cross-Site Scripting (XSS) & Remote Command Execution (RCE)
  - **ID和分类:**
    - EDB-ID: 51074
    - CVE: N/A
    - type: Webapps (Web应用程序)
    - Platform: PHP 
  - **发布信息:**
    - Author: Rafael Pedrero
    - Date: 2023-03-27
  - **漏洞描述:**
    - Exist in Webgrind version 1.1 and prior due to insufficient encoding of user-controlled inputs in the `/index.php` file's `in` parameter. This leads to both Cross-Site Scripting (XSS) and Remote Command Execution (RCE).
    - CVSS Scores:
      - RCE: v3 score 9.8, vector `3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H`
      - XSS: v3 score 6.5, vector `3.0/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N`
    - CWE Classification: CWE-434 for RCE, CWE-79 for XSS.
  - **测试环境和利用:**
    - Tested on Windows 10 using XAMPP with PHP.
    - Proof of concept code provided for both XSS and RCE attacks.
  - **参考资料**
    - Vendor and software on GitHub respectively at http://github.com/jokkedk/webgrind
    - Advisory/Source Link provided.
                                          

  

• 标题： GitHub - jokkedk/webgrind: Xdebug Profiling Web Frontend in PHP -- 🔗来源链接

  标签：product

  神龙速读：

                                          - 项目名称：Webgrind
  - 项目描述：Xdebug profiling web frontend in PHP
  - 语言：PHP (50.1%), C++ (23.1%), HTML (22.1%), CSS (3.2%), Dockerfile (0.6%), Shell (0.5%), Makefile (0.4%)
  - 版本：v1.9.4 (最新版本发布于2025年11月11日)
  - 问题：39个
  - 拉取请求：11个
  - 分支：2个
  - 标签：23个
  - 提交记录：306次
  - 星标：3.3k个
  - 关注者：144位
  - Forks：409个
  - 贡献者：40位（+26位）
                                          

  

• 标题： Webgrind 1.1 - Reflected Cross-Site Scripting (XSS) via file Parameter | Advisories | VulnCheck -- 🔗来源链接

  标签：third-party-advisory

  神龙速读：

                                          ```
  ## 关键信息
  
  - **漏洞标题**: Webgrind 1.1 - Reflected Cross-Site Scripting (XSS) via file Parameter
  - **漏洞类型**: Reflected XSS
  - **严重程度**: Medium
  - **日期**: January 13, 2026
  - **影响版本**: Webgrind 1.1
  - **CVE编号**: CVE-2023-54341
  - **CVSS score**: 6.1
  - **CVSS矢量**: CVSS:3.0/AV:N/AC:L/AT:N/PR:N/UI:A/VC:N/VI:N/VA:N/SC:L/SI:L/SA:N
  - **CWE**: CWE-79 Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting')
  - **参考链接**:
      - ExploitDB-51074
      - Webgrind GitHub Repository
  - **报告人**: Rafael Pedrero
  
  ## 描述
  
  Webgrind 1.1及以前版本存在一个反射型跨站脚本漏洞，攻击者可通过在index.php中的`file`参数注入恶意脚本。该应用未能充分对用户控制的输入进行编码，允许攻击者通过构建恶意URL在受害者浏览器中执行任意JavaScript。
  ```
                                          

  
• https://nvd.nist.gov/vuln/detail/CVE-2023-54341

四、漏洞 CVE-2023-54341 的评论