从这个网页截图中,可以获取到以下关于漏洞的关键信息: 1. 漏洞名称:XSS and Open Redirect via SVG File Upload in parisneo/lollms-webui 2. 漏洞类型:CWE-434: Unrestricted Upload of File with Dangerous Type 3. 漏洞描述: - lollms-webui应用在处理SVG文件上传时存在两个漏洞:Cross-Site Scripting (XSS)和Open Redirect。 - XSS漏洞允许攻击者在SVG文件中嵌入恶意JavaScript代码,导致敏感数据泄露、应用功能被操纵或未经授权的操作。 - Open Redirect漏洞允许攻击者通过上传恶意SVG文件,将用户重定向到恶意网站,增加被钓鱼攻击、恶意软件分发和声誉损害的风险。 4. 漏洞利用步骤: - XSS漏洞的利用步骤包括访问应用、创建恶意SVG文件、上传文件并观察恶意JS执行。 - Open Redirect漏洞的利用步骤包括访问应用、创建恶意SVG文件、上传文件并观察用户被重定向到恶意网站。 5. 影响: - 数据泄露:攻击者可以利用XSS漏洞窃取敏感用户数据、操纵应用功能或代表已认证用户执行未经授权的操作。 - 用户重定向:Open Redirect漏洞允许攻击者将用户重定向到恶意网站,增加被钓鱼攻击、恶意软件分发和声誉损害的风险。 6. 漏洞状态: - 已修复:漏洞已被修复。 - 修复状态:修复状态为“UNPROVEN”,修复者为Saifeddine ALOUI。 - 修复时间:修复时间为6个月前。 7. 漏洞评级: - 严重性:高(7.3) - 影响范围:本地(Local)、低(Low) - 用户交互:要求(Required) - 安全性:未改变(Unchanged) - 机密性:低(Low) - 完整性:高(High) - 可用性:高(High) 这些信息提供了关于漏洞的详细描述和修复情况,有助于了解漏洞的性质和影响。