漏洞标题
N/A
漏洞描述信息
在 Dragonfly CMS 9.0.6.1 之前,多个跨站点脚本(XSS)漏洞允许远程攻击者通过(1)uname,(2)错误,(3)配置或(4)用户名字段参数向(a)你的_账户模块 inject 任意的网页脚本或 HTML。
(a) Your_Account 模块中的以下参数可能导致 XSS 攻击:
- (5) catid,(6) sid,(7) Story Text 或(8)扩展文本文本字段。
- (9) 月份,(10)年份或(11) sa 参数向(c) Stories_Archive 模块。
- (12)显示,(13)cid,(14)速率类型或(15)排序参数向(d) Web_Links 模块。
- (16) op,(17) pollid 参数向(e)调查模块。
- (18) c 参数向(f) Downloads 模块。
- (19) meta 或(20)专辑参数向(g)铜矿模块。
- (21) Search,(22) Stories_Archive,(23) Downloads 和(24)主题模块中的搜索框或查询框。
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N
漏洞类别
N/A
漏洞标题
N/A
漏洞描述信息
Multiple cross-site scripting (XSS) vulnerabilities in Dragonfly CMS before 9.0.6.1 allow remote attackers to inject arbitrary web script or HTML via (1) uname, (2) error, (3) profile or (4) the username filed parameter to the (a) Your_Account module, (5) catid, (6) sid, (7) Story Text or (8) Extended text text fields in the (b) News module, (9) month, (10) year or (11) sa parameter to the (c) Stories_Archive module, (12) show, (13) cid, (14) ratetype, or (15) orderby parameter to the (d) Web_Links module, (16) op, or (17) pollid parameter to the (e) Surveys module, (18) c parameter to the (f) Downloads module, (19) meta, or (20) album parameter to the (g) coppermine module, or the search box in the (21) Search, (22) Stories_Archive, (23) Downloads, and (24) Topics module.
CVSS信息
N/A
漏洞类别
N/A
漏洞标题
CPG Dragonfly CMS多个跨站脚本攻击漏洞
漏洞描述信息
在Dragonfly CMS 9.0.6.1之前版本中存在多个跨站脚本攻击(XSS)漏洞,远程攻击者可以通过以下途径,注入任意脚本或HTML:(1) uname,(2)错误,(3)简介或(4)用于(a) Your_Account模块的用户名文件参数,(5) catid, (6) sid, (7)故事文本或(8)在(b) 消息模块中的扩展文本text字段,(9) 月份,(10) 年份或(11)用于(c) Stories_Archive模块中的sa参数,(12)显示,(13) cid, (14) ratety
CVSS信息
N/A
漏洞类别
跨站脚本