漏洞标题
N/A
漏洞描述信息
在Advanced Electron Forum (AEF) v1.0.9中发现了一个XSS问题。一个持久的XSS漏洞位于`Private Message`模块中的`FTP Link`元素。 Private Message 模块的编辑器允许在不清洗内容的情况下插入链接。这使得远程攻击者可以在恶意脚本代码 payload 中以私人消息(也被称为 pmbody)的形式注入。注入点为编辑器的FTP链接元素,执行点在到达消息体上下文时发生。注入的请求方法是使用受限的用户权限的POST请求。
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:C/C:L/I:L/A:N
漏洞类别
N/A
漏洞标题
N/A
漏洞描述信息
An XSS issue was discovered in Advanced Electron Forum (AEF) v1.0.9. A persistent XSS vulnerability is located in the `FTP Link` element of the `Private Message` module. The editor of the private message module allows inserting links without sanitizing the content. This allows remote attackers to inject malicious script code payloads as a private message (aka pmbody). The injection point is the editor ftp link element and the execution point occurs in the message body context on arrival. The request method to inject is POST with restricted user privileges.
CVSS信息
N/A
漏洞类别
N/A
漏洞标题
Advanced Electron Forum Private Message模块跨站脚本漏洞
漏洞描述信息
Advanced Electron Forum(AEF)是一套使用PHP语言编写的在线论坛系统。Private Message是其中的一个个人信息模块。 AEF 1.0.9版本中的Private Message模块的‘FTP Link’元素存在跨站脚本漏洞,该漏洞源于站内短消息编辑器没有过滤内容。远程攻击者可利用该漏洞注入恶意的脚本代码载荷。
CVSS信息
N/A
漏洞类别
跨站脚本