关键漏洞信息 漏洞概述 类型: 存储型XSS(Stored XSS) 影响版本: <=2.5.22 修复版本: 无 严重性: 低 (0.0/10) 描述 在emlog的文件上传功能中存在跨站脚本(XSS)漏洞,允许经过身份验证的远程攻击者通过文件上传功能注入任意Web脚本或HTML。 细节 作为已认证用户,可以上传包含JavaScript代码的.svg文件,该代码会在稍后执行。 利用方式 (PoC) 1. 以注册用户身份发送以下HTTP请求: 2. 访问上传文件的URL。上传此类文件后,可以将URL发送给其他用户或说服他们访问URL。 CVSS评分 攻击向量: 网络 攻击复杂度: 低 所需权限: 无 用户交互: 需要 作用范围: 受限 机密性影响: 无 完整性影响: 无 可用性影响: 无 CVE ID CVE-2015-6769 弱点 CWE-80: 跨站脚本 (XSS) 报告者 Huutj