GHSL-2024-036:QrCodePage.js 中的反射型 XSS(CVE-2024-41658)
CVE编号
CVE-2024-41658利用情况
暂无补丁情况
N/A披露时间
2024-08-21漏洞描述
Casdoor是一个以用户界面为主的身份和访问管理(IAM)/单点登录(SSO)平台。在Casdoor 1.577.0及更早版本中,用于生成微信支付的二维码的购买URL存在反射型跨站脚本攻击(XSS)漏洞。在使用Casdoor购买物品时,产品页面允许通过微信支付进行付款。在使用微信支付时,支付页面上会显示一个带有微信支付链接的二维码。此页面从URL的successUrl获取查询参数,并在成功购买后将用户重定向到该URL。由于用户没有理由认为支付页面包含敏感信息,他们可能会与其他人共享该页面或可能被诱导向其他人发送该页面。攻击者可以制作一个带有特殊URL的Casdoor链接并将其发送给用户,一旦完成支付,就会发生XSS攻击。解决建议
建议您更新当前系统或软件至最新版,完成漏洞的修复。
参考链接 |
|
|---|---|
| https://github.com/casdoor/casdoor/blob/v1.577.0/web/src/QrCodePage.js | |
| https://securitylab.github.com/advisories/GHSL-2024-035_GHSL-2024-036_casdoor/ |
- 攻击路径 网络
- 攻击复杂度 低
- 权限要求 无
- 影响范围 已更改
- 用户交互 需要
- 可用性 无
- 保密性 低
- 完整性 低
| CWE-ID | 漏洞类型 |
Exp相关链接
版权声明
本站原创文章转载请注明文章出处及链接,谢谢合作!
评论