CNVD-ID:
CNVD-2024-01190
漏洞描述:
RPCMS是一个应用软件,一个网站CMS系统。
RPCMS v3.5.5版本存在跨站脚本漏洞,该漏洞源于组件/logs/dopost.html中对用户提供的数据缺乏有效过滤与转义,攻击者可利用该漏洞通过注入精心设计的有效载荷执行任意Web脚本或HTML。
漏洞复现:
1、"设置"->"基本设置"->"统计代码":
2、"导航":
3、“文章”->"超链接“:
Change the burpsutie packet capture, remove http://, and encode the HTML entity in front of alert():
payload: javascript%26%23x3a%3Balert(document.cookie)