关键漏洞信息 受影响产品 名称: Jinhe OA (Jhsoft OA) V1.0 厂商主页: http://www.jinheoa.com/ 影响版本 版本: V1.0 漏洞文件 文件路径: /jc6/platform/sys/login!changePassWord.action 漏洞类型 类型: 反射型XSS 根因 由于对POST请求中的 参数输入验证不足,导致恶意攻击者可以注入任意JavaScript代码。 影响 攻击者可以利用此漏洞在受害者浏览器中执行恶意脚本,进行钓鱼攻击或窃取敏感数据。 描述 在OA系统(https://oa.liuoooc.com)的 端点存在反射型XSS漏洞。无需登录即可利用该漏洞。 漏洞细节和POC 漏洞位置: 参数 Payload: 建议修复 1. 输入验证: 在服务器端验证和清理 参数及所有用户控制的输入。 2. 输出编码: 在渲染HTML前对用户控制的数据进行编码。 3. 内容安全策略(CSP): 实施严格的CSP头以阻止未经授权的脚本执行。