关键信息 漏洞详情 报告者: Pranav Joyan (https://github.com/progprnv) 测试环境: - https://microweber.com - https://github.com/microweber/microweber 受影响版本: 最新在线版本在 https://microweber.com 受影响页面: 和 漏洞类型: 存储型跨站脚本(Stored XSS) 漏洞细节 Microweber CMS 在 "last name" 字段中未能正确对用户输入进行转义,导致恶意脚本注入。 复现步骤 1. 登录并访问个人资料编辑页面: https://microweber.com/projects/profile 2. 在 "last name" 字段中注入以下payload: 3. 点击 "Update" 保存更改。 4. 访问主页: https://microweber.com 5. 观察XSS弹窗触发,显示 使用的Payload 相关CVE CWE-79: 不当的输入中和处理Web页面生成(跨站脚本) 漏洞影响 令牌和会话cookie窃取 持久账户劫持 钓鱼和社会工程学攻击向量 如果查看可能的管理员账户劫持 推荐修复措施 在任何页面渲染前转义个人资料字段。 通过输入验证禁止在 "first/last name" 中使用特殊字符。 使用 或 对输入进行清理和编码。