关键漏洞信息 受影响产品 名称: ICS-Park 厂商主页: https://github.com/fbha/ics-park 影响版本 受影响版本: v2.0 漏洞类型 类型: 不当文件上传 - 存储型XSS 根因 由于ICS-Park文件上传模块对文件扩展名的验证不严格,允许上传 等危险文件。这些文件在受害服务器上直接执行任意JavaScript代码。 影响 攻击者可以操纵已认证用户执行更改密码、修改账户设置等操作。 成功利用可能导致: - 未经授权的账户访问或数据操纵。 - 权限提升或以用户身份执行未授权操作。 - 潜在的数据丢失或未经授权的数据泄露。 漏洞详情和POC 易受攻击文件: FileUploadWithAjax.js Payload: 建议修复 1. 严格文件扩展名白名单机制,仅允许安全扩展名(如.jpg, .png, .gif),拒绝危险扩展名(如.html, .js等)。