漏洞关键信息 软件信息 名称: Group Office CRM 链接: https://sourceforge.net/projects/group-office/ 版本: 6.4.196 漏洞类型 类型: Cross Site Scripting (XSS) CVE编号: CVE-2020-35418 和 CVE-2020-35419 漏洞描述 类型: 存储型XSS和反射型XSS 具体描述: 存在一个反射型XSS漏洞,影响 参数。此外,在联系方式页面,用户可以通过文件上传功能上传SVG文件,并注入JavaScript代码。由于服务器对上传的SVG文件处理不安全,攻击者可以利用此漏洞执行XSS攻击。 漏洞利用 PoC文件内容: