首页    技术博客    PHP教程    数据库技术    前端开发   HTML5    Nginx    php论坛
新用户注册 | 会员登录
加入会员,解锁专属内容
取消
热门标签 | HotTags
当前位置:  开发笔记 > 后端 > 正文

天融信关于梦想CMSLMXCMSV1.4后台XSS漏洞分析

作者:手机用户2502901613 | 来源:互联网 | 2023-10-10 09:09
梦想cms以下简称“lmxcms”,是由“10年”(网名)开发的一套简单实用的网站管理系统(cms)。它是完全免费和开源的。在Lmxcms1.4版本(目前最新版本)中,存在一处后台xss漏洞。Lmxcms未对编辑的产品内容进行过滤处理,从而导致漏洞发生。LMXC

一、背景介绍

梦想cms以下简称“lmxcms”,是由“10年”(网名)开发的一套简单实用的网站管理系统(cms)。它是完全免费和开源的。

1.1 漏洞描述

在Lmxcms 1.4版本(目前最新版本)中,存在一处后台xss漏洞。Lmxcms未对编辑的产品内容进行过滤处理,从而导致漏洞发生。

1.2 受影响的系统版本

LMXCMS <=V1.4

二、漏洞分析

该漏洞位于Lmxcms站点后台 内容管理中:

天融信关于梦想CMS LMXCMS V1.4后台XSS漏洞分析

在编辑产品内容时,插入构造好的js脚本并提交

在访问该内容页面时,即可触发js脚本,在页面内弹框

天融信关于梦想CMS LMXCMS V1.4后台XSS漏洞分析

三、漏洞利用

首先登录后台,点击内容管理菜单,选中其中一个产品,并点击修改按钮:

天融信关于梦想CMS LMXCMS V1.4后台XSS漏洞分析

在编辑产品内容时,插入构造好的js脚本并提交

天融信关于梦想CMS LMXCMS V1.4后台XSS漏洞分析

在访问该内容页面时,即可触发js脚本,在页面内弹框

天融信关于梦想CMS LMXCMS V1.4后台XSS漏洞分析


以上所述就是小编给大家介绍的《天融信关于梦想CMS LMXCMS V1.4后台XSS漏洞分析》,希望对大家有所帮助,如果大家有任何疑问请给我留言,小编会及时回复大家的。在此也非常感谢大家对 我们 的支持!


推荐阅读
author-avatar
手机用户2502901613
这个家伙很懒,什么也没留下!
Tags | 热门标签
RankList | 热门文章
PHP1.CN | 中国最专业的PHP中文社区 | DevBox开发工具箱 | json解析格式化 |PHP资讯 | PHP教程 | 数据库技术 | 服务器技术 | 前端开发技术 | PHP框架 | 开发工具 | 在线工具
Copyright © 1998 - 2020 PHP1.CN. All Rights Reserved | 京公网安备 11010802041100号 | 京ICP备19059560号-4 | PHP1.CN 第一PHP社区 版权所有