免责声明
水一个CVE吧,像这种影响较小又不容易找到10个以上互联网案例的漏洞CNVD又不收,扔了又可惜的可以交给CVE试试。
禅道PMS 介绍
禅道(禅道项目管理系统)是一个开源的项目管理和协作工具,旨在帮助团队更好地规划、跟踪和完成项目。它是一个专业的项目管理平台,适用于各种规模的组织,包括中小企业和大型企业。
漏洞影响范围
禅道 Biz <=4.1.3 存在(XSS).
漏洞的原理和复现
在禅道 biz 4.1.3版本的“集成->版本库->客户端”功能中,用户输入的数据没有经过过滤处理,导致恶意用户可以执行任意JavaScript代码。
已成功在客户端参数中执行插入的有效负载,成功触发XSS,如图:
本月挖洞任务又完成了。
原文始发于微信公众号(Hack All Sec):禅道后台XSS漏洞(CVE-2023-46491)
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论