CVE-2024-27665 PoC — Unifiedtransform 安全漏洞

来源

https://github.com/Thirukrishnan/CVE-2024-27665

关联漏洞

标题:Unifiedtransform 安全漏洞 (CVE-2024-27665)
Description:Unifiedtransform是Sourceforge开源的一款开源的学校管理软件。可对学校运营进行全面高效的管理。 Unifiedtransform v2.X版本存在安全漏洞，该漏洞源于容易受到存储型跨站脚本(XSS)攻击。

介绍

# CVE-2024-27665

Unifiedtransform v2.X is vulnerable to Stored Cross-Site Scripting (XSS) via file upload feature in Syllabus module.  

Vendor: https://github.com/changeweb/Unifiedtransform

---

## PoC

Step 1: Log in to the Application and Navigate to Academic module.  
  
![image](https://github.com/Thirukrishnan/CVE-2024-27665/assets/63901950/61f8771f-588a-4d3c-ad10-1182d4ac6cd7)  

Step 2: Create Session,Semester,Class,Course from the Academic module with random data.  
  
Step 3: Navigate to Syllabus module, fill in the required details and upload [PDF file](https://github.com/Thirukrishnan/CVE-2024-27665/blob/main/xss.pdf) with XSS payload in the Syllabus File upload input.  
  
![image](https://github.com/Thirukrishnan/CVE-2024-27665/assets/63901950/bbb6375a-50f5-4adb-b2f2-512c1ef7e71f)  
  
Step 4: Navigate to Classes -> Syllabus and click on download.  
  
![image](https://github.com/Thirukrishnan/CVE-2024-27665/assets/63901950/ce50b1d1-c97b-42b2-8f79-1940416707c8)  
![image](https://github.com/Thirukrishnan/CVE-2024-27665/assets/63901950/298132a1-2478-4390-8382-946bbd9033f6)   
  
Step 5: Observe the XSS getting triggered!.  
  
![image](https://github.com/Thirukrishnan/CVE-2024-27665/assets/63901950/9cabf3aa-49ea-4ed4-a848-cb20bfce0bf3)

文件快照


 [4.0K]  /data/pocs/442f3a8016eaf1bb37e931da62c7c65261d3a178
├── [1.2K]  README.md
└── [127K]  xss.pdf

0 directories, 2 files

神龙机器人已为您缓存

备注

1. 建议优先通过来源进行访问。

2. 如果因为来源失效或无法访问，请发送邮件到 f.jinxu#gmail.com 索取本地快照（把 # 换成 @）。

3. 神龙已为您对 POC 代码进行快照，为了长期维护，请考虑为本地 POC 付费/捐赠，感谢您的支持。

目标达成 感谢每一位支持者 — 我们达成了 100% 目标！

CVE-2024-27665 PoC — Unifiedtransform 安全漏洞

来源

关联漏洞

介绍

文件快照

备注

目标达成感谢每一位支持者 — 我们达成了 100% 目标！