关键信息 漏洞名称: 07FLYCMS/07FLY-CMS/07FLYCRM 1.3.8 System Settings Page Login Interface Copyright Cross Site Scripting 漏洞编号: VDB-280052 - CVE-2024-9856 受影响版本: 07FLYCMS, 07FLY-CMS, 07FLYCRM 1.3.8 漏洞描述: 问题类型: Cross Site Scripting (XSS) 受影响组件: System Settings Page 问题原因: 漏洞存在于系统设置页面的登录界面,通过操纵“Login Interface Copyright”参数,可以注入恶意脚本。 影响程度: 可能导致用户数据泄露和恶意脚本执行。 漏洞评分: CVSS Meta Temp Score: 2.3 CTI Interest Score: 1.92 漏洞影响: 漏洞类型: XSS 影响组件: 07FLYCMS, 07FLY-CMS, 07FLYCRM 1.3.8 影响程度: 可能导致用户数据泄露和恶意脚本执行。 漏洞披露: 披露时间: 2024年 披露平台: GitHub 漏洞编号: CVE-2024-9856 漏洞利用: 利用难度: 易 利用方式: 远程利用 利用条件: 需要用户交互 利用技术: T1059.007 漏洞利用工具: 利用工具: GitHub 利用状态: 证明概念 建议措施: 建议措施: 使用替代产品或更新到最新版本。 其他信息: 影响范围: 07FLYCMS, 07FLY-CMS, 07FLYCRM 影响程度: 可能导致用户数据泄露和恶意脚本执行。 总结 这个漏洞是一个严重的跨站脚本(XSS)漏洞,存在于07FLYCMS、07FLY-CMS和07FLYCRM 1.3.8的系统设置页面的登录界面。通过操纵“Login Interface Copyright”参数,可以注入恶意脚本,导致用户数据泄露和恶意脚本执行。该漏洞已被公开披露,并可以通过GitHub上的证明概念工具利用。建议受影响的用户更新到最新版本或使用替代产品。