一、 漏洞 CVE-2024-9077 基础信息
漏洞标题
东方zu Order Checkout order.js存在跨站脚本漏洞
来源:AIGC 神龙大模型
漏洞描述信息
在dingfangzu版本29d67d9044f6f93378e6eb6ff92272217ff7225c中发现了一个被归类为问题的漏洞。该漏洞影响组件Order Checkout中的scripts/order.js文件的一个未知功能。通过操纵参数address-name可以导致跨站脚本攻击。该攻击可以通过远程方式发起。漏洞的利用方法已经公开,可能存在被利用的风险。该产品采用滚动发布策略,持续交付,因此无法提供受影响版本和更新版本的详细信息。已经提前联系了该产品的供应商,但供应商未对此作出任何回应。
来源:AIGC 神龙大模型
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N
来源:AIGC 神龙大模型
漏洞类别
在Web页面生成时对输入的转义处理不恰当(跨站脚本)
来源:AIGC 神龙大模型
漏洞标题
dingfangzu Order Checkout order.js cross site scripting
来源:美国国家漏洞数据库 NVD
漏洞描述信息
A vulnerability classified as problematic has been found in dingfangzu up to 29d67d9044f6f93378e6eb6ff92272217ff7225c. Affected is an unknown function of the file scripts/order.js of the component Order Checkout. The manipulation of the argument address-name leads to cross site scripting. It is possible to launch the attack remotely. The exploit has been disclosed to the public and may be used. This product is using a rolling release to provide continious delivery. Therefore, no version details for affected nor updated releases are available. The vendor was contacted early about this disclosure but did not respond in any way.
来源:美国国家漏洞数据库 NVD
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:N/I:L/A:N
来源:美国国家漏洞数据库 NVD
漏洞类别
在Web页面生成时对输入的转义处理不恰当(跨站脚本)
来源:美国国家漏洞数据库 NVD
漏洞标题
dingfanzu 跨站脚本漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
dingfanzu是gk2007个人开发者的一个基于 php 的外卖订餐网站。 dingfanzu存在跨站脚本漏洞,该漏洞源于Order Checkout组件中的scripts/order.js文件中的参数address-name可导致跨站脚本攻击。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
跨站脚本
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2024-9077 的公开POC
# POC 描述 源链接 神龙链接
三、漏洞 CVE-2024-9077 的情报信息

  • 标题: webray.com.cn/cve/dingfanzu-CMS/dingfanzu-CMS order_confirm.html Ship-Address Stored Cross-Site Scripting(XSS).md at main · Xor-Gerke/webray.com.cn · GitHub -- 🔗来源链接

    标签: exploit

    神龙速读
    webray.com.cn/cve/dingfanzu-CMS/dingfanzu-CMS order_confirm.html Ship-Address Stored Cross-Site Scripting(XSS).md at main · Xor-Gerke/webray.com.cn · GitHub

  • 标题: Login required -- 🔗来源链接

    标签: signature permissions-required

    神龙速读
    Login required

  • 标题: Submit #407527: GitHub dingfangzu 1 Basic Cross Site Scripting -- 🔗来源链接

    标签: third-party-advisory

    神龙速读
    Submit #407527: GitHub dingfangzu 1 Basic Cross Site Scripting

  • 标题: CVE-2024-9077 dingfangzu Order Checkout order.js cross site scripting -- 🔗来源链接

    标签: vdb-entry technical-description

    神龙速读
    CVE-2024-9077 dingfangzu Order Checkout order.js cross site scripting
  • https://nvd.nist.gov/vuln/detail/CVE-2024-9077