一、 漏洞 CVE-2024-52305 基础信息
漏洞标题
一键记账软件Create User功能存在存储型XSS漏洞
来源:AIGC 神龙大模型
漏洞描述信息
UnoPim 是一个基于 Laravel 框架构建的开源产品信息管理(PIM)系统。在创建用户的过程中存在一个漏洞,允许创建一个新的管理员账户并具有上传头像的选项。攻击者可以上传一个包含嵌入式脚本的恶意 SVG 文件。当访问该头像时,嵌入式脚本会被执行,可能导致会话 cookie 被窃取。该漏洞在 0.1.5 版本中已被修复。
来源:AIGC 神龙大模型
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:L/I:L/A:N
来源:AIGC 神龙大模型
漏洞类别
在Web页面生成时对输入的转义处理不恰当(跨站脚本)
来源:AIGC 神龙大模型
漏洞标题
UnoPim Stored XSS : Cookie hijacking through Create User function
来源:美国国家漏洞数据库 NVD
漏洞描述信息
UnoPim is an open-source Product Information Management (PIM) system built on the Laravel framework. A vulnerability exists in the Create User process, allowing the creation of a new admin account with an option to upload a profile image. An attacker can upload a malicious SVG file containing an embedded script. When the profile image is accessed, the embedded script executes, leading to the potential theft of session cookies. This vulnerability is fixed in 0.1.5.
来源:美国国家漏洞数据库 NVD
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:N
来源:美国国家漏洞数据库 NVD
漏洞类别
上传文件变量的不完整标识(PHP)
来源:美国国家漏洞数据库 NVD
漏洞标题
UnoPim 安全漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
UnoPim是UnoPim开源的一个基于 Laravel 框架的开源产品信息管理(PIM)系统。 UnoPim存在安全漏洞,该漏洞源于创建用户进程中存在一个漏洞,允许创建新的管理员帐户,并提供上传个人资料图片的选项。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
其他
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2024-52305 的公开POC
# POC 描述 源链接 神龙链接
三、漏洞 CVE-2024-52305 的情报信息