关键信息 漏洞类型 Reflected XSS Vulnerability CVSSv3 评分 7.3 (AV:N/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:N) 影响版本 All django-cms versions prior to 3.7.3 漏洞概述 Django CMS 应用未对 参数进行验证,导致生成无效插件类型的错误消息时引入了XSS漏洞。攻击者可以利用此漏洞在受影响用户的Web浏览器中执行任意JavaScript代码。 技术细节 在错误消息生成过程中,应用未能对 参数进行适当验证,允许攻击者通过构造恶意输入直接反映在响应中。 漏洞验证 通过发送特定构造的请求,可以观察到恶意 JavaScript 代码在响应中的反射执行,例如: 缓解措施 建议实现特定于上下文的过滤器以确保用户输入在显示之前被合理验证。 时间线