关键漏洞信息 漏洞概览 漏洞名称: PHP Melody v3.0 - (submitted) 持久型XSS漏洞 发布日期: 2021-10-20 漏洞ID: 2292 CVSS评分: 5.6 漏洞类型: 持久型跨站脚本 (Persistent XSS) 影响产品 厂商: PHPSUGAR 产品: PHP Melody v3.0 - 视频CMS (Web应用) 漏洞发现时间线 2021-09-01: 研究员通知与协调(安全研究员) 2021-09-02: 厂商通知(安全部门) 2021-09-04: 厂商响应/反馈(安全部门) 2021-09-22: 厂商修复/补丁(开发团队) 2021-09-22: 安全致谢(安全部门) 2021-10-20: 公开披露(漏洞实验室) 漏洞细节与描述 漏洞位置: 文件中的 参数 攻击方式: 远程攻击者可以通过拥有特权编辑用户账户向 的 参数注入恶意脚本代码 影响文件: 风险: 成功利用此漏洞可能导致会话劫持、持续的钓鱼攻击、外部重定向到恶意源以及应用程序模块的持续操纵 认证类型: 受限认证(管理员权限) 用户交互: 低交互 漏洞证明(PoC) 网站: PHP Melody 本地部署 ( ) 示例Payload: - 日志示例: 文件中的 参数在HTTP POST方法中被利用 修复方案 1. 对 方法请求中传输的参数进行编码、转义或过滤 2. 通过禁止使用特殊字符来限制所有传输参数 3. 消除危险输出并协商 中的输出位置 4. 设置安全标头和web应用防火墙以防止进一步的开发和利用