POC详情: c4cbb652b612bb9192245f90ce39b9e5d17df9d1

来源
https://github.com/KielVaughn/CVE-2021-38603
关联漏洞
标题: PluXml 跨站脚本漏洞 (CVE-2021-38603)
描述:PluXml是一个免费的开源内容管理系统,不需要数据库即可工作。 PluXML存在跨站脚本漏洞,该漏洞源于 core/admin/profil.php 页面 允许通过 Information 字段实现存储型 XSS 漏洞。
介绍
# CVE-2021-38603

A stored cross site scripting vulnerability is present on the Profile edit page in the **Information:** field for each user.

## http://\<hostname/server ip\>/core/admin/profil.php

### Vulnerable Fields:

- Information:

![User Profile Page](PluXML_Profile.png)

Once inserted, XSS can be triggered by visiting any page/article created by that particular user.

![Profile XSS](PluXML_Profile_Stored_XSS.png)
文件快照

 [4.0K]  /data/pocs/c4cbb652b612bb9192245f90ce39b9e5d17df9d1
├── [ 32K]  PluXML_Profile.png
├── [554K]  PluXML_Profile_Stored_XSS.png
└── [ 427]  README.md

0 directories, 3 files
神龙机器人已为您缓存
备注
    1. 建议优先通过来源进行访问。
    2. 如果因为来源失效或无法访问,请发送邮箱到 f.jinxu#gmail.com 索取本地快照(把 # 换成 @)。
    3. 神龙已为您对POC代码进行快照,为了长期维护,请考虑为本地POC付费,感谢您的支持。