漏洞标题
N/A
漏洞描述信息
在 Wuzly 2.0 中有多个跨站脚本(XSS)漏洞,允许远程攻击者通过 Referer 头 inject 任意的 web 脚本或 HTML 到 (1) admin/login.php 和 (2) admin/404.php;(3)搜索.php 中的 q 参数;(4)主题名称参数到主题设置.php;(5)扩展名称参数到扩展设置.php;(6)搜索.php 中的 q 参数;(7)评论类型参数到评论.php;(8)页面和文章类型参数到页面.php 和文章.php;(10)类型和 q 参数到 admin/media.php;(11)主题和扩展类型参数到 media.php;(12)添加widget 的 sidebar 参数和 widgets.php;(13)分类删除的 category_delete.php;(14)评论.php;(15)页面删除的 page_delete.php;(16)文章删除的 post_delete.php;(17)文章和评论删除的 post_delete.php;(18)媒体类型参数到 media.php;(19)主题和扩展类型参数到 widget_delete.php 的 mobile/;(20)id 和 sidebar 参数到 widget_delete.php;(21)名称,电子邮件,网站和评论参数到 index.php;(22)用户名,(23)网站和评论参数到 admin/login.php。
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N
漏洞类别
N/A
漏洞标题
N/A
漏洞描述信息
Multiple cross-site scripting (XSS) vulnerabilities in Wuzly 2.0 allow remote attackers to inject arbitrary web script or HTML via the Referer header to (1) admin/login.php and (2) admin/404.php; the (3) q parameter to search.php; the (4) theme_name parameter to theme_settings.php, (5) extension_name parameter to extension_settings.php, (6) q parameter to search.php, (7) type parameter to comments.php, sort parameter to (8) pages.php and (9) posts.php, and the (10) type and (11) q parameter to media.php in admin/; the sidebar parameter to (12) add_widget.php and (13) widgets.php, id parameter to (14) category_delete.php, (15) comment.php, (16) page_delete.php, and (17) post_delete.php, (18) type parameter to media.php, and (19) id and (20) sidebar parameter to widget_delete.php in mobile/; and the (21) name, (22) email, (23) website, and (24) comment parameters to index.php; and the (25) username parameter to admin/login.php.
CVSS信息
N/A
漏洞类别
N/A
漏洞标题
Wuzly 多个参数跨站脚本漏洞
漏洞描述信息
Wuzly 2.0版本中存在多个跨站脚本(XSS)漏洞。远程攻击者可以借助q和theme_name parameter等多个参数来注入任意web脚本或者HTML。
CVSS信息
N/A
漏洞类别
跨站脚本