一、 漏洞 CVE-2024-36697 基础信息
漏洞信息
# N/A
## 漏洞概述
Allworx System Software v9.1.9.12的Admin Login页面存在跨站脚本攻击(XSS)漏洞,攻击者可以通过在query.asp的SessionID参数中注入特制的负载来执行任意Web脚本或HTML代码。
## 影响版本
- Allworx System Software v9.1.9.12
## 漏洞细节
攻击者可以构造一个特制的payload,并将其注入到query.asp页面的SessionID参数中,从而在目标用户的浏览器中执行任意Web脚本或HTML代码。
## 漏洞影响
此漏洞可能导致攻击者执行任意JavaScript代码,进而窃取用户的Cookie信息、进行钓鱼攻击或其他恶意行为,严重威胁系统安全。
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
N/A
来源:美国国家漏洞数据库 NVD
漏洞描述信息
A cross-site scripting (XSS) vulnerability in the Admin Login page of Allworx System Software v9.1.9.12 allows attackers to execute arbitrary web scripts or HTML via a crafted payload injected into the SessionID parameter at query.asp.
来源:美国国家漏洞数据库 NVD
CVSS信息
N/A
来源:美国国家漏洞数据库 NVD
漏洞类别
N/A
来源:美国国家漏洞数据库 NVD
漏洞标题
Allworx System Software 跨站脚本漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
Allworx System Software是美国Allworx公司的一款通信软件平台。 Allworx System Software v9.1.9.12版本存在安全漏洞,该漏洞源于Admin Login页面中对SessionID参数处理不当,可能导致跨站脚本攻击。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
跨站脚本
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2024-36697 的公开POC
| # | POC 描述 | 源链接 | 神龙链接 |
|---|
