漏洞标题
N/A
漏洞描述信息
DCP-Portal 4.2 及其更早版本中的跨站脚本漏洞允许远程攻击者通过向用户_update.php 中的工作信息字段提供 JavaScript 来获得其他 portal 用户的权限。
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:H
漏洞类别
N/A
漏洞标题
N/A
漏洞描述信息
Cross-site scripting vulnerability in DCP-Portal 4.2 and earlier allows remote attackers to gain privileges of other portal users by providing Javascript in the job information field to user_update.php.
CVSS信息
N/A
漏洞类别
N/A
漏洞标题
DCP-Portal用户信息跨站脚本执行漏洞
漏洞描述信息
DCP-Portal是种内容管理系统,提供多种基于WEB方式的操作,比如更新站点、成员管理等等。 DCP-Portal存在跨站脚本执行漏洞。 攻击者首先注册一个用户,然后访问http://www.dcp-portal_host/user_update.php ,修改自己的job info,在此插入任意代码,比如 <script>alert("ALPERz was here!")</script> 当其它用户察看攻击者的个人信息时,这些script脚本就会在用户浏览器中执行。
CVSS信息
N/A
漏洞类别
授权问题