一、 漏洞 CVE-2021-35488 基础信息
漏洞标题
N/A
来源:AIGC 神龙大模型
漏洞描述信息
Thruk 2.40-2 允许通过主机或标题参数反射XSS。攻击者可以将任意JavaScript注入到/thruk/#cgi-bin/status.cgi中。每次经过验证的用户浏览包含该页面的页面时, payload 都将被触发。
来源:AIGC 神龙大模型
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N
来源:AIGC 神龙大模型
漏洞类别
N/A
来源:AIGC 神龙大模型
漏洞标题
N/A
来源:美国国家漏洞数据库 NVD
漏洞描述信息
Thruk 2.40-2 allows /thruk/#cgi-bin/status.cgi?style=combined&title={TITLE] Reflected XSS via the host or title parameter. An attacker could inject arbitrary JavaScript into status.cgi. The payload would be triggered every time an authenticated user browses the page containing it.
来源:美国国家漏洞数据库 NVD
CVSS信息
N/A
来源:美国国家漏洞数据库 NVD
漏洞类别
N/A
来源:美国国家漏洞数据库 NVD
漏洞标题
Thruk 跨站脚本漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
Thruk是德国Sven Nierlein个人开发者的一个开源的多后端监控网络界面。 Thruk 2.40-2存在安全漏洞,攻击者可以将任意 JavaScript 注入 status.cgi。每次经过身份验证的用户浏览包含它的页面时,都会触发有效负载。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
跨站脚本
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2021-35488 的公开POC
# POC 描述 源链接 神龙链接
三、漏洞 CVE-2021-35488 的情报信息