finecms XSS (CVE-2017-11629)
| ID: | 16643 |
|---|---|
| 标题: | finecms XSS (CVE-2017-11629) |
| 描述: | finecms XSS (CVE-2017-11629) vulfocus/finecms-cve_2017_11629:latest Dayrui FineCms是中国天睿(Dayrui)程序设计团队发布的一套使用MVC架构和PDO数据库接口开发的内容管理系统(CMS)。 dayrui FineCms 5.0.10及之前的版本中的controllers/api.php文件存在跨站脚本漏洞。远程攻击者可借助c=api&m=data2请求中的‘function’参数利用该漏洞注入任意的Web脚本或HTML。 |
| 类型: | WEB |
| 网站: | vulfocus |
| 题目链接: | https://vulfocus.cn |
| 赛事: | None |
| 年度: | None |
| Flag值: | 无 |
| writeup: |
https://blog.csdn.net/qq_23003811/article/details/140500762 (答案依据:CVE-2017-11629漏洞存在于FineCMS 5.0.10及更早版本的controllers/api.php文件中,通过c=api&m=data2请求的function参数触发反射型XSS。验证链接中的文章详细描述了漏洞原理、影响范围及复现步骤,包含可验证的POC:/index.php?c=api&m=data2&function=p&format=php,与多篇搜索结果 1 5的描述一致。) |