q2apro q2apro-on-site-notifications q2apro-onsitenotifications-page.php process_request cross site scripting 漏洞信息(CVE-2023-7303)

一、漏洞 CVE-2023-7303 基础信息

漏洞标题

q2apro q2apro-on-site-notifications q2apro-onsitenotifications-page.php process_request 跨站脚本漏洞

来源：AIGC 神龙大模型

漏洞描述信息

## 漏洞概述在 q2apro 的 q2apro-on-site-notifications 插件中，版本 1.4.6 及以下存在一个导致跨站脚本（XSS）漏洞。攻击者可远程利用该漏洞发起攻击。升级到 1.4.8 版本可以解决此问题。 ## 影响版本 - q2apro-on-site-notifications 1.4.6 及以下版本 ## 漏洞细节漏洞存在于文件 `q2apro-onsitenotifications-page.php` 的 `process_request` 函数中。攻击者可以通过修改请求数据，远程触发跨站脚本攻击。 ## 影响通过远程攻击，攻击者可以利用该漏洞执行跨站脚本攻击。建议用户升级到 1.4.8 版本，其中包含了修复该漏洞的补丁，补丁代码为 0ca85ca02f8aceb661e9b71fd229c45d388ea5b5。

来源：AIGC 神龙大模型

CVSS信息

CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N

来源：AIGC 神龙大模型

漏洞类别

在Web页面生成时对输入的转义处理不恰当(跨站脚本)

来源：AIGC 神龙大模型

漏洞标题

q2apro q2apro-on-site-notifications q2apro-onsitenotifications-page.php process_request cross site scripting

来源：美国国家漏洞数据库 NVD

漏洞描述信息

A vulnerability, which was classified as problematic, was found in q2apro q2apro-on-site-notifications up to 1.4.6. This affects the function process_request of the file q2apro-onsitenotifications-page.php. The manipulation leads to cross site scripting. It is possible to initiate the attack remotely. Upgrading to version 1.4.8 is able to address this issue. The patch is named 0ca85ca02f8aceb661e9b71fd229c45d388ea5b5. It is recommended to upgrade the affected component.

来源：美国国家漏洞数据库 NVD

CVSS信息

CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:N/I:L/A:N

来源：美国国家漏洞数据库 NVD

漏洞类别

在Web页面生成时对输入的转义处理不恰当(跨站脚本)

来源：美国国家漏洞数据库 NVD

漏洞标题

q2apro-on-site-notifications 代码注入漏洞

来源：中国国家信息安全漏洞库 CNNVD

漏洞描述信息

q2apro-on-site-notifications是q2apro个人开发者的一个插件，可以替换论坛的所有电子邮件通知。 q2apro-on-site-notifications 1.4.6及之前版本存在代码注入漏洞，该漏洞源于文件q2apro-onsitenotifications-page.php中process_request函数处理不当，可能导致跨站脚本攻击。

来源：中国国家信息安全漏洞库 CNNVD

CVSS信息

N/A

来源：中国国家信息安全漏洞库 CNNVD

漏洞类别

代码注入

来源：中国国家信息安全漏洞库 CNNVD

二、漏洞 CVE-2023-7303 的公开POC

#	POC 描述	源链接	神龙链接

三、漏洞 CVE-2023-7303 的情报信息

标题： Critical Vulnerability · Issue #43 · q2apro/q2apro-on-site-notifications -- 🔗来源链接

标签： issue-tracking
标题： Critical Vulnerability · Issue #43 · q2apro/q2apro-on-site-notifications -- 🔗来源链接

标签： issue-tracking
标题： Update q2apro-onsitenotifications-page.php · q2apro/q2apro-on-site-notifications@0ca85ca · GitHub -- 🔗来源链接

标签： patch
标题： Login required -- 🔗来源链接

标签： signature permissions-required
标题： Submit #564749: Question2Answer Question2Answer Plugin 1.4.6 Cross Site Scripting -- 🔗来源链接

标签： third-party-advisory
标题： CVE-2023-7303 q2apro q2apro-on-site-notifications q2apro-onsitenotifications-page.php process_request cross site scripting (Issue 43) -- 🔗来源链接

标签： vdb-entry technical-description
https://nvd.nist.gov/vuln/detail/CVE-2023-7303