一、 漏洞 CVE-2021-20112 基础信息
漏洞标题
N/A
来源:AIGC 神龙大模型
漏洞描述信息
在TCExam <= 14.8.1中存在一个存储的跨站脚本漏洞。通过tce_select_mediafile.php上传的合法文件,如果文件名开头带有空格,将被视为文本/HTML。拥有tce_select_mediafile.php访问权限的 attacker 可以上传恶意的 JavaScript 子串,当其他用户查看文件时将触发该子串。
来源:AIGC 神龙大模型
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N
来源:AIGC 神龙大模型
漏洞类别
N/A
来源:AIGC 神龙大模型
漏洞标题
N/A
来源:美国国家漏洞数据库 NVD
漏洞描述信息
A stored cross-site scripting vulnerability exists in TCExam <= 14.8.1. Valid files uploaded via tce_select_mediafile.php with a filename beggining with a period will be rendered as text/html. An attacker with access to tce_select_mediafile.php could upload a malicious javascript payload which would be triggered when another user views the file.
来源:美国国家漏洞数据库 NVD
CVSS信息
N/A
来源:美国国家漏洞数据库 NVD
漏洞类别
N/A
来源:美国国家漏洞数据库 NVD
漏洞标题
Tecnick.com TCExam 跨站脚本漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
Tecnick.com TCExam是英国Tecnick.com公司的一套基于Web的开源电子考试系统。该系统主要用于在线考试等。 TCExam 存在跨站脚本漏洞,该漏洞源于tce_select_mediafile.php中对用户提供的数据验证不足。远程认证的攻击者可利用该漏洞在受影响用户的浏览器中注入并执行任意的HTML和脚本代码。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
跨站脚本
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2021-20112 的公开POC
# POC 描述 源链接 神龙链接
三、漏洞 CVE-2021-20112 的情报信息