漏洞关键信息 漏洞详情 漏洞类型: Cross Site Scripting (XSS) 漏洞名称: News247 News Magazine 1.0 Cross Site Scripting CVE 编号: CVE-2021-41731 风险等级: Low 报告日期: 2022.09.15 是否远程: Yes 是否本地: No CWE 编号: CWE-79 漏洞描述 产品: News247 - News Magazine (CMS) v1.0 作者: Ravinder Verma 发布日期: September 14, 2022 官方网站: LINK HERE 软件下载链接: LINK HERE 测试环境: Kali Linux, Apache, MySQL 供应商: 255programmer 版本: v1.0 漏洞细节 News247 - News Magazine (CMS) v1.0 存在存储型跨站脚本 (XSS) 漏洞。管理员可以发布各种分类的博客。在创建新的"博客分类"时,如果管理员在分类名称字段中输入恶意载荷如 并发布该博客,它允许在访问该页面的用户浏览器上下文中执行任意 JavaScript 脚本。此漏洞可被利用来窃取会话 cookie、以受害者名义执行请求或进行钓鱼攻击。