漏洞标题
N/A
漏洞描述信息
ph03y3nk 只是另一个扁平文件(JAF) CMS 4.0 RC1 中的多个跨站脚本(XSS)漏洞,允许远程攻击者通过(1) module/shout/jafshout.php(也称为shoutbox)中的消息参数以及可能的其他参数,注入任意的 web 脚本或 HTML。以及(2) module/forum/topicwin.php 模块中的 forum 帖子中的消息 body,与 name、email、title、date、ldate 和 lname 变量相关。
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N
漏洞类别
N/A
漏洞标题
N/A
漏洞描述信息
Multiple cross-site scripting (XSS) vulnerabilities in ph03y3nk just another flat file (JAF) CMS 4.0 RC1 allow remote attackers to inject arbitrary web script or HTML via (1) the message parameter, and possibly other parameters, in module/shout/jafshout.php (aka the shoutbox); and (2) the message body in a forum post in module/forum/topicwin.php, related to the name, email, title, date, ldate, and lname variables.
CVSS信息
N/A
漏洞类别
N/A
漏洞标题
JAF CMS 多个跨站脚本漏洞
漏洞描述信息
JAF CMS是用于创建个人主页的内容管理系统。 JAF CMS实现上存在多个跨站脚本漏洞,远程攻击者可以利用这些漏洞注入任意HTML和脚本代码并在用户浏览器会话中执行。 JAF CMS的jafshout.php文件没有正确地过滤message参数的输入。在module/shout/jafshout.php文件的168到202行: 187 - 191 { $message = preg_replace('/"/','',$_POST['message']); $message = preg_replace
CVSS信息
N/A
漏洞类别
跨站脚本