一、 漏洞 CVE-2023-6275 基础信息
漏洞信息
                                        # TOTVS Fluig平台 mobileredir openApp.jsp 站点交叉脚本漏洞

## 概述
TOTVS Fluig Platform的某些版本中的`/mobileredir/openApp.jsp`文件存在一个跨站脚本(XSS)漏洞。攻击者可以通过远程方式利用此漏洞。

## 影响版本
- 1.6.x
- 1.7.x
- 1.8.0
- 1.8.1

## 细节
- **受影响组件**: mobileredir
- **受影响文件**: `/mobileredir/openApp.jsp`
- **攻击方式**: 通过操纵`redirectUrl/user`参数输入`"><script>alert(document.domain)</script>`可以触发跨站脚本攻击。
- **公开状态**: 攻击细节已公开,可被利用。

## 影响
该漏洞允许攻击者进行远程跨站脚本攻击,可能会影响用户的浏览器环境并执行恶意脚本。升级到特定版本可以修复此问题:
- 1.7.1-231128
- 1.8.0-231127
- 1.8.1-231127

建议升级受影响的组件。该漏洞的标识符为VDB-246104。
神龙判断

是否为 Web 类漏洞: 未知

判断理由:

N/A
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
TOTVS Fluig Platform mobileredir openApp.jsp cross site scripting
来源:美国国家漏洞数据库 NVD
漏洞描述信息
A vulnerability was found in TOTVS Fluig Platform 1.6.x/1.7.x/1.8.0/1.8.1. It has been rated as problematic. Affected by this issue is some unknown functionality of the file /mobileredir/openApp.jsp of the component mobileredir. The manipulation of the argument redirectUrl/user with the input "><script>alert(document.domain)</script> leads to cross site scripting. The attack may be launched remotely. The exploit has been disclosed to the public and may be used. Upgrading to version 1.7.1-231128, 1.8.0-231127 and 1.8.1-231127 is able to address this issue. It is recommended to upgrade the affected component. The identifier of this vulnerability is VDB-246104.
来源:美国国家漏洞数据库 NVD
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:N/I:L/A:N
来源:美国国家漏洞数据库 NVD
漏洞类别
在Web页面生成时对输入的转义处理不恰当(跨站脚本)
来源:美国国家漏洞数据库 NVD
漏洞标题
TOTVS Fluig 跨站脚本漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
TOTVS Fluig是葡萄牙TOTVS公司的一个应用软件。用于自动处理ERP任务。 TOTVS Fluig Platform存在跨站脚本漏洞,该漏洞源于文件/mobileredir/openApp.jsp的参数redirectUrl/user会导致跨站脚本漏洞。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
跨站脚本
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2023-6275 的公开POC
# POC 描述 源链接 神龙链接
1 Reflected Cross-Site Scripting in TOTVS Fluig Plataform 1.6.X - 1.8.1 https://github.com/erickfernandox/CVE-2023-6275 POC详情
2 A vulnerability was found in TOTVS Fluig Platform 1.6.x/1.7.x/1.8.0/1.8.1. It has been rated as problematic. Affected by this issue is some unknown functionality of the file /mobileredir/openApp.jsp of the component mobileredir. The manipulation of the argument redirectUrl/user with the input "><script>alert(document.domain)</script> leads to cross site scripting. The attack may be launched remotely. The exploit has been disclosed to the public and may be used. https://github.com/projectdiscovery/nuclei-templates/blob/main/http/cves/2023/CVE-2023-6275.yaml POC详情
3 Nov 24, 2023 — A vulnerability was found in TOTVS Fluig Platform 1.6.x/1.7.x/1.8.0/1.8.1. It has been rated as problematic. https://github.com/LelioCosta/FLUIG-Vulnerabilidade-CVE-2023-6275 POC详情
三、漏洞 CVE-2023-6275 的情报信息
四、漏洞 CVE-2023-6275 的评论

暂无评论

发表评论