关键漏洞信息 漏洞描述 ThinkSAAS 3.7.0 版本中存在存储型XSS漏洞,原因是用户输入在 中未对 、 、 、 、 、 和 参数进行充分的过滤和转义,导致可通过恶意代码注入。 漏洞细节 代码问题 文件中处理上述参数时,虽使用 进行了简单处理,但未对字符串类型的变量进行适当的转义,从而导致XSS攻击可能性。 示例场景 修改 参数时,若含有恶意脚本,将被不安全地嵌入网页。 PoC(漏洞利用示例) 展示如何通过构造恶意 参数,诱使管理员访问特定页面,触发XSS攻击: 影响范围 所有使用受漏洞影响参数(如 、 等)的页面皆可能遭受XSS攻击,潜在风险包括非授权的行为、会话劫持和更广泛的恶意活动。