漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2014-062690
漏洞标题:FineCMS v2.3.2 开启xss防护的情况下,一处xss漏洞指哪打哪
相关厂商:dayrui.com
漏洞作者: Mosuan
提交时间:2014-05-29 17:46
修复时间:2014-08-24 17:48
公开时间:2014-08-24 17:48
漏洞类型:xss跨站脚本攻击
危害等级:中
自评Rank:10
漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2014-05-29: 细节已通知厂商并且等待厂商处理中
2014-05-29: 厂商主动忽略漏洞,细节向第三方安全合作伙伴开放
2014-07-23: 细节向核心白帽子及相关领域专家公开
2014-08-02: 细节向普通白帽子公开
2014-08-12: 细节向实习白帽子公开
2014-08-24: 细节向公众公开
简要描述:
看了下你们昨天更新了版本,之前发布的xss也没用了,最新版是v2.3.2,呵呵,想想上次我发你们的两个漏洞,你一个忽略一个给我1rank我就来气!!Fuck!!默认下不开启xss防护?你真逗?会出现乱码?你真逗!这次是开启xss防护的情况下进行xss攻击,你们的脸红了吗?而且这xss还是指哪打哪....太逗了!!!坐等忽略!!没做过白帽子的你们如何理解白帽子的心?千过滤万转义,最后你还是输给了那个标签.....
详细说明:
刚刚测试的时候,各种标签被转义
在租房模块随便搜索个存在的房源,
比如我搜索个“子”,然后出来一个房源,
点击下图中的聊天框
然后插入代码
IE下admin查看信息弹窗
查看源代码
说到底就是这个聊天框架的问题!!
如果你说我没有开启xss防御,那你请试试!!
我开启防御了少年.....
漏洞证明:
详细说明
修复方案:
呵呵
版权声明:转载请注明来源 Mosuan@乌云
漏洞回应
厂商回应:
危害等级:无影响厂商忽略
忽略时间:2014-08-24 17:48
厂商回复:
不足为虑
最新状态:
暂无