关键漏洞信息 漏洞标题: XunRuiCMS 4.7.1 XSS 漏洞描述: - CVE编号: XunRuiCMS 4.7.1和更早版本存在反射型跨站脚本(XSS)攻击漏洞,通过JSONP回调参数实现。 - 受影响函数: - 函数(行 272-276) - 函数(行 296-300) - 问题位置: /dayrui/Fcms/Init.php - 漏洞原因: JSONP请求处理时,应用直接从 获取'callback'参数并输出到HTTP响应中,未进行输入验证、输出编码或清理。 - 利用方式: 攻击者可通过构造恶意URL注入JavaScript代码,如 。受害者点击后,注入的代码将在受害者会话中执行,可能导致会话劫持、凭证窃取等恶意行为。 - 未验证情况: 安全问题存在于 的全局函数 和 中,未采用 中已正确使用的 进行回调清理。 来源: https://note-hxlab.wetolink.com/share/gbCf35DJ3los 提交者: yu22x (UID 34832) 提交日期: 2025-12-16 审核日期: 2025-12-27 状态: Accepted 漏洞库入口: 338522 关联软件: XunRuiCMS up to 4.7.1 分类: JSONP Callback, XSS 评分: 19