漏洞概述 漏洞名称: Stored XSS via missing XSS safety check in Admin2 Pages API partial validation 漏洞类型: 存储型跨站脚本攻击 (Stored XSS) 受影响产品: Grav 1.7.52 漏洞描述: 在 Admin2 Pages API 的部分验证路径中,缺少对 XSS 的安全检查,导致攻击者可以注入并存储恶意 JavaScript 代码。当其他用户访问受影响的页面时,这些恶意代码会被执行。 影响范围 受影响版本: Grav 1.7.52 影响用户: 任何访问受攻击页面的用户,包括未认证和已认证的管理员。 潜在影响: - 执行任意 JavaScript 代码 - 窃取用户会话 - 修改页面内容或执行其他恶意操作 修复方案 修复措施: 确保在保存页面内容之前,对所有输入进行 XSS 安全检查。 具体步骤: 1. 在 方法中,确保在保存页面内容之前调用 方法。 2. 更新 方法,确保对所有字段进行 XSS 安全检查。 POC 代码