emlog Pro 1.8.0漏洞挖掘之存储型XSS漏洞

emlog pro 漏洞复现

 

测试版本: 官网下载的最新版本:emlog Pro 1.8.0
利用条件: 需要开启用户注册

1. /admin/account.php?action=signin 注册用户

写文章 标签处插入xss测试代码

点击发布文章

成功进行了弹窗，现在进管理账号看一下

成功利用管理身份触发xss漏洞

而且会自动保存到标签里
 

已经过官方授权

漏洞危害:攻击利用难度大，且危害后果未实现权限跨越（如：取得数据库或服务器主机权限）！
漏洞修复:关闭用户注册，文章标签处进行代码过滤

emlog Pro 1.8.0漏洞挖掘之存储型XSS漏洞 - 好黑客emlog pro 漏洞复现测试版本: 官网下载的最新版本:emlog Pro 1.8.0利用条件: 需要开启用户注册 /admin/account.php?action=si...https://www.hao-hacker.com/?post=8