一、 漏洞 CVE-2024-53255 基础信息
漏洞标题
BoidCMS中file参数存在反射型跨站脚本漏洞
来源:AIGC 神龙大模型
漏洞描述信息
BoidCMS 是一个使用 PHP 开发的免费开源的扁平文件型CMS,用于构建简单的网站和博客,它使用 JSON 作为数据库。在受影响的版本中,/admin?page=media 接口的文件参数中存在反射型跨站脚本(XSS)漏洞,允许攻击者注入任意的 JavaScript 代码。此代码可以用来窃取用户的会话 cookie,执行钓鱼攻击,或破坏网站。此问题已在 2.1.2 版本中得到解决,建议所有用户进行升级。目前尚无针对此漏洞的变通解决方案。
来源:AIGC 神龙大模型
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N
来源:AIGC 神龙大模型
漏洞类别
在Web页面生成时对输入的转义处理不恰当(跨站脚本)
来源:AIGC 神龙大模型
漏洞标题
Reflected Cross-site Scripting in /admin?page=media via file Parameter in BoidCMS
来源:美国国家漏洞数据库 NVD
漏洞描述信息
BoidCMS is a free and open-source flat file CMS for building simple websites and blogs, developed using PHP and uses JSON as a database. In affected versions a reflected Cross-site Scripting (XSS) vulnerability exists in the /admin?page=media endpoint in the file parameter, allowing an attacker to inject arbitrary JavaScript code. This code could be used to steal the user's session cookie, perform phishing attacks, or deface the website. This issue has been addressed in version 2.1.2 and all users are advised to upgrade. There are no known workarounds for this vulnerability.
来源:美国国家漏洞数据库 NVD
CVSS信息
N/A
来源:美国国家漏洞数据库 NVD
漏洞类别
在Web页面生成时对输入的转义处理不恰当(跨站脚本)
来源:美国国家漏洞数据库 NVD
漏洞标题
BoidCMS 安全漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
BoidCMS是BoidCMS开源的一个免费的开源平面文件 CMS,用于构建简单的网站和博客,使用 PHP 开发并使用 JSON 作为数据库。 BoidCMS 2.1.1及之前版本存在安全漏洞,该漏洞源于文件参数中的/admin?page=media端点存在反射型跨站脚本(XSS)漏洞,允许攻击者注入任意JavaScript代码。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
其他
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2024-53255 的公开POC
| # | POC 描述 | 源链接 | 神龙链接 |
|---|---|---|---|
| 1 | boid CMS 2.1.1 - reflected Cross-Site Scripting (XSS) | https://github.com/0x4M3R/CVE-2024-53255 | POC详情 |
三、漏洞 CVE-2024-53255 的情报信息
-
标题: Reflected XSS in /admin?page=media via file Parameter · Advisory · BoidCMS/BoidCMS · GitHub -- 🔗来源链接
标签: x_refsource_CONFIRM
神龙速读
-
- https://nvd.nist.gov/vuln/detail/CVE-2024-53255