关键信息 漏洞类型 类型: 存储型跨站脚本 (XSS) - CWE-79: 在网页生成过程中对输入的不正确中和(“跨站脚本”) 影响产品 产品: NotesCMS 受影响版本: commit 7d821a0f028b0778b245b99ab3d3bff1ac10e2d3 修复版本: commit 95322c5121dbd7070f3bd54f2848079654a0a8ea 影响组件 路径: /index.php?route=notes. 详细信息: 可在 PrivateAccount/NotesCMS#2 中查看 漏洞描述 在 NotesCMS 中发现了一个漏洞,被分类为中等。此漏洞影响页面 /index.php?route=notes。服务描述标题的操纵导致存储型 XSS 漏洞。该问题在源代码中确认存在,具体在 commit 7d821a0f028b0778b245b99ab3d3bff1ac10e2d3(日期 2024-05-08),并在 commit 95322c5121dbd7070f3bd54f2848079654a0a8ea(日期 2025-03-31)中修复。攻击可以远程发起。漏洞定义:CWE-79。 影响 在笔记标题内容中执行任意 JavaScript 代码 窃取敏感用户信息(如 cookie、会话令牌和帐户凭据) 执行任意恶意脚本来冒充用户并执行未经授权的操作 注入钓鱼页面以诱骗用户泄露敏感数据 传播蠕虫或特洛伊木马,进一步扩大攻击范围 破坏或中断网站功能,降低可用性和可信度 攻击向量 (PoC) 发现者 yA0-Z 参考资料 PrivateAccount/NotesCMS#2