关键漏洞信息 漏洞概述 类型: 跨站脚本攻击 (XSS) CVE编号: 无 受影响软件: YiFangCMS 版本: 2.0.5 漏洞页面: 漏洞详情 描述: 在 文件的 参数中存在XSS漏洞。该参数在不进行任何过滤的情况下直接存储在数据库中,并在 方法中被使用。 影响: 攻击者可以通过提交恶意的XSS脚本来触发此漏洞,当访问广告位置列表时触发。 代码片段: 复现步骤 请求过程: 1. POST 2. 请求被 处理 3. 请求被传递到 4. 请求被传递到 5. 最终到达 请求包: 漏洞原因 字段直接从用户请求中获取并存储在数据库中,未进行任何HTML转义。 关键截图说明 管理员在添加或编辑友链组时,可以通过 参数输入恶意代码。 成功的XSS攻击在页面上触发警报,显示攻击被成功执行。