microweber/microweber 跨站点脚本漏洞(CVE-2022-1439)
锺离浩慨
CVE-2022-1439漏洞是由于microweber/microweber 下的 demo.microweber.org/demo/module/ 上存在反射型xss,攻击者可以利用此漏洞获取用户敏感信息。
| 编号 | CVE-2022-1439 |
|---|---|
| 标题 | microweber/microweber 跨站点脚本漏洞 |
| 描述 | microweber是一个开源CMS。 在 1.2.15 之前的 GitHub 存储库 microweber/microweber 中的 demo.microweber.org/demo/module/ 上触发了反射型 XSS。以被攻击用户身份执行任意 JavaScript。这是我发现唯一有效的有效负载,您可能需要按“label”,但可能有一个无需用户交互即可运行的有效负载。 |
| 发布时间 | 2022/4/22 |
| 漏洞级别 | 中危 |
| 影响组件 | microweber/microweber |
| 影响范围 | 小 |
参考链接:https://nvd.nist.gov/vuln/detail/CVE-2022-1439
【使用墨菲安全的开源工具帮您快速检测代码安全】
墨菲安全是一家为您提供专业的软件供应链安全管理的科技公司,能力包括代码安全检测、开源组件许可证合规管理、云原生容器安全检测、软件成分分析(SCA)等,丰富的安全工具助您打造完备的软件开发安全能力(DevSecOps)。产品支持SaaS、私有化部署。公司核心团队来自百度、华为等企业,拥有超过十年的企业安全建设、安全产品研发及安全攻防经验。
开源地址:https://github.com/murphysecurity/murphysec
产品官网:https://murphysec.com
IDE插件:欢迎在Jetbrains IDE插件市场搜索 “murphysec” 安装检测插件,一键检测一键修复~
【关于墨菲安全实验室】
墨菲安全实验室是墨菲未来科技旗下的安全研究团队,专注于软件供应链安全相关领域的技术研究,关注的方向包括:开源软件安全、程序分析、威胁情报分析、企业安全治理等。
类似资料: