关键漏洞信息 漏洞类型: Cross-site Scripting (XSS) in 2factor authentication setup page 严重性: Moderate CVE ID: CVE-2023-37280 受影响的版本: <1.0.3 修复版本: 1.0.3 漏洞描述: - 概要: 未经授权的HTML注入/XSS可能存在。条件是2因素身份验证尚未设置。 - 易受攻击的端点: /admin/login/2fa-setup - 易受攻击的参数: error= - 影响范围: 任何尚未设置2因素认证的管理员都易受攻击,无需任何形式的权限,导致应用程序执行任意脚本/HTML内容。 - 备用攻击路径: 由于是2fa页面且存在QR码,攻击者可以替换此QR码为其他的,导致对管理员的威胁增加。 - 潜在影响: 用于执行任意脚本或HTML注入,导致目标应用中的Cookie窃取、篡改或注入钓鱼链接。 修复方案: - 升级到版本1.0.3或手动应用此补丁: 补丁链接 变通方案: - 手动应用补丁: 此链接 参考资料: - Huntr Bounty