关键漏洞信息 漏洞标题: SourceCodester Patients Waiting Area Queue Management System 1.0 Cross Site Scripting 漏洞类型: 跨站脚本(XSS) 漏洞描述: 在SourceCodester Patients Waiting Area Queue Management System 1.0中发现了一个存储型跨站脚本漏洞。该漏洞特别影响位于/qpms/queue.php的公共队列监视器。由于应用程序从数据库检索未经过验证的患者姓名并直接显示在公共队列板上,攻击者可以通过注册带有恶意JavaScript有效负载(如,"><img src=x onerror=alert(1))的患者来利用此漏洞。由于队列php页面的设计旨在刷新和自动显示条目,因此脚本会在查看公共监视器的任何人的浏览器中执行。这代表了关键的安全风险,因为它允许在公共队列终端中持续执行脚本,并且可以用来破坏显示或捕获堡垒平台中的管理台话。 来源: https://gist.github.com/archana1122m/2aed32e2a7ca5a648105bfdfdf72a955 用户: Archana M (UID 95668) 提交日期: 2022年2月18日 09:40 AM 审核日期: 2022年2月24日 11:02 PM 状态: 已接受 VulDB条目: 247678 积分数: 20