从这个网页截图中,可以获取到以下关于漏洞的关键信息: 1. 漏洞编号:#410565 2. 漏洞标题:CodeCanyon CRMGo SaaS 7.2 Stored Cross-Site Scripting (XSS) Vulnerabilities 3. 漏洞描述: - 漏洞摘要:两个关键的存储型跨站脚本攻击(XSS)漏洞被识别在CRMGo SaaS版本7.2中。 - 漏洞细节:这些漏洞发生在两个不同的端点上:/deal/{note_id}/note( Deals模块中的笔记字段)和 /project/task/{task_id}/show(项目任务中的评论部分)。低权限的已认证攻击者可以将恶意JavaScript注入用户生成的内容(笔记和评论),然后存储并执行,当其他用户,包括管理员,查看受影响的页面时。成功利用允许攻击者窃取敏感数据、冒充用户,并部署钓鱼或恶意软件攻击。 4. 受影响的端点: - /deal/{note_id}/note - Notes字段在Deals模块。 - /project/task/{task_id}/show - Comments部分在Project Tasks。 5. 严重性:高 6. 影响: - 钓鱼和恶意软件部署。 - 用户身份盗用通过会话窃取。 - 数据泄露和潜在的完整帐户泄露。 7. 重现步骤: - 步骤1:存储型XSS 1 - 导航到https://host/deal/list - 查看一个交易,然后在Notes字段中输入payload "alert('stored')",然后保存笔记并点击“添加”按钮。 这些信息提供了关于漏洞的详细描述,包括漏洞的性质、受影响的端点、严重性和重现步骤。