现在位置：首页 > 问题反馈 > emlog Pro 1.8.0存储型XSS漏洞

emlog Pro 1.8.0存储型XSS漏洞

作者：好黑客www.hao-hacker.co 分类：问题反馈时间：2022-11-10 浏览：546 评论：3

emlog pro 漏洞复现

测试版本: 官网下载的最新版本:emlog Pro 1.8.0
利用条件: 需要开启用户注册

写文章标签处插入xss测试代码

点击发布文章

成功进行了弹窗，现在进管理账号看一下

成功利用管理身份触发xss漏洞

而且会自动保存到标签里

漏洞危害:攻击利用难度大，且危害后果未实现权限跨越（如：取得数据库或服务器主机权限）！
漏洞修复:关闭用户注册，文章标签处进行代码过滤，或已被攻击可进入数据库删除掉攻击代码

评论列表

那多记忆管理员初来乍到 Lv.1

下个版本标签部分会过滤html标签。内容因为本身是支持html内容的，所以这块不会去刻意过滤。

2022-11-10 15:54回复

独元殇初来乍到 Lv.1

@蝈蝈：还是有点意义。在前端可干的坏事太多了。

2022-11-10 15:19回复

蝈蝈游客

没意义，无法获取cookie

2022-11-10 13:37回复