关键漏洞信息 漏洞概述 漏洞类型: Authenticated Stored XSS 受影响软件: Vvweb 1.0.5 严重性: 高 CVSS评分: 8.0 影响范围 影响版本: 1.0.5 影响资产: 163+ 发现日期: 2025年1月3日 描述 Vvweb的两个端点 和 存在XSS漏洞。攻击者可以通过在slug参数中注入恶意代码来触发此漏洞。 复现步骤 1. 访问以下URL查看帖子或页面: - - 2. 编辑帖子或页面: - - 3. 在slug中插入以下payload并保存页面: 4. 页面重新加载后,代码将被执行。其他管理员或编辑者点击该帖子或页面时也会触发。 Cookie窃取 通过创建一个名为 的文件并使用命令 启动PHP服务,可以窃取cookies。窃取的cookies可以用于访问管理员或其他站点用户的账户。