漏洞概述 CVE编号: CVE-2021-36450 漏洞类型: 跨站脚本攻击(XSS) 漏洞描述: 该漏洞允许攻击者通过构造恶意URL,在用户登录时执行恶意脚本,从而窃取用户cookie等信息。 影响范围 受影响产品: Verint Workforce Optimization (WFO) 受影响版本: Verint 15.2 (15.2.8.10048) 漏洞URL: 修复方案 厂商主页: https://www.verint.com POC代码: 利用步骤 1. 攻击者将恶意payload放入参数 中。 2. 受害者被重定向到登录页面,输入用户名后,XSS警报会弹出。 时间线 首次联系厂商: 2021年6月24日 - 未收到回复 第一次跟进: 2021年6月29日 - 未收到回复 第二次跟进: 2021年7月9日 - 未收到回复 第三次跟进: 2021年8月22日 - 未收到回复 第四次跟进: 2021年9月10日 - 未收到回复 CVE-ID生成: 2021年11月24日 最终跟进: 2021年11月26日 - 未收到回复 CVE-ID发布: 2021年11月28日 标签 XSS Attack 作者 作者: Sushant Vitthal Kamble 简介: 信息安全测试员