|KesionCMS网校平台漏洞包（官方demo测试） - VULHUB开源网络安全威胁库

KesionCMS网校平台漏洞包（官方demo测试）

- AV AC AU C I A

发布： 2025-04-13

修订： 2025-04-13

### 简要描述： 11个漏洞10个忽略我也没打算好到哪去~ 但是洞总归是要提交的.. ### 详细说明：官网demo地址：http://me.kesion.com/ 注册账户后登陆个人会员后台管理中心 1.个人基本信息处的真实姓名未对xss代码过滤 [<img src="https://images.seebug.org/upload/201411/051944034fe6f61ff6cf4ead8f43050b099a2b52.png" alt="01.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201411/051944034fe6f61ff6cf4ead8f43050b099a2b52.png) 写入代码看效果~ [<img src="https://images.seebug.org/upload/201411/051944186f09110ff3bd0b875a9702bdfd90b843.png" alt="02.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201411/051944186f09110ff3bd0b875a9702bdfd90b843.png) 当然这是个人后台但并不是selfxss 个人空间主页访问可以触发该xss脚本~ 2.个人空间设置处空间公告可以写入xss代码 [<img src="https://images.seebug.org/upload/201411/05194559c62e7e5aee1f4b086b185a80f9324ff9.png" alt="03.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201411/05194559c62e7e5aee1f4b086b185a80f9324ff9.png) 访问个人主页看效果~ [<img src="https://images.seebug.org/upload/201411/051946237ebf66b8dffc7ec61b6d626e45329929.png" alt="05.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201411/051946237ebf66b8dffc7ec61b6d626e45329929.png) 3.用户个人空间处写博文博文标题直接写入xss [<img src="https://images.seebug.org/upload/201411/0519505199a8944870df29986bbec22b6d69c900.png" alt="07.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201411/0519505199a8944870df29986bbec22b6d69c900.png) 看效果 [<img src="https://images.seebug.org/upload/201411/051951024ea1f71f0603c9a95e00fb4cacc3434a.png" alt="08.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201411/051951024ea1f71f0603c9a95e00fb4cacc3434a.png) 4.还有几处挺多的一一写就有些浮夸了，建议来个全面检测吧！例如：空间参数设置 -- 导航管理处 [<img src="https://images.seebug.org/upload/201411/051952485e8f585fa00c9adc750174b214d8a361.png" alt="06.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201411/051952485e8f585fa00c9adc750174b214d8a361.png) 例如：内容管理 -- 管理我的信息处 [<img src="https://images.seebug.org/upload/201411/05195440f2a1d4593f69b35f1239642f6d06b630.png" alt="09.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201411/05195440f2a1d4593f69b35f1239642f6d06b630.png) ### 漏洞证明： 1.个人基本信息处的真实姓名未对xss代码过滤 [<img src="https://images.seebug.org/upload/201411/051944034fe6f61ff6cf4ead8f43050b099a2b52.png" alt="01.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201411/051944034fe6f61ff6cf4ead8f43050b099a2b52.png) 写入代码看效果~ [<img src="https://images.seebug.org/upload/201411/051944186f09110ff3bd0b875a9702bdfd90b843.png" alt="02.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201411/051944186f09110ff3bd0b875a9702bdfd90b843.png) 当然这是个人后台但并不是selfxss 个人空间主页访问可以触发该xss脚本~ 2.个人空间设置处空间公告可以写入xss代码 [<img src="https://images.seebug.org/upload/201411/05194559c62e7e5aee1f4b086b185a80f9324ff9.png" alt="03.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201411/05194559c62e7e5aee1f4b086b185a80f9324ff9.png) 访问个人主页看效果~ [<img src="https://images.seebug.org/upload/201411/051946237ebf66b8dffc7ec61b6d626e45329929.png" alt="05.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201411/051946237ebf66b8dffc7ec61b6d626e45329929.png) 3.用户个人空间处写博文博文标题直接写入xss [<img src="https://images.seebug.org/upload/201411/0519505199a8944870df29986bbec22b6d69c900.png" alt="07.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201411/0519505199a8944870df29986bbec22b6d69c900.png) 看效果 [<img src="https://images.seebug.org/upload/201411/051951024ea1f71f0603c9a95e00fb4cacc3434a.png" alt="08.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201411/051951024ea1f71f0603c9a95e00fb4cacc3434a.png) 4.还有几处挺多的一一写就有些浮夸了，建议来个全面检测吧！例如：空间参数设置 -- 导航管理处 [<img src="https://images.seebug.org/upload/201411/051952485e8f585fa00c9adc750174b214d8a361.png" alt="06.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201411/051952485e8f585fa00c9adc750174b214d8a361.png) 例如：内容管理 -- 管理我的信息处 [<img src="https://images.seebug.org/upload/201411/05195440f2a1d4593f69b35f1239642f6d06b630.png" alt="09.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201411/05195440f2a1d4593f69b35f1239642f6d06b630.png)

漏洞利用/PoC

暂无可用Exp或PoC

受影响的平台与产品

当前有0条受影响产品信息

您还没有登录，登录后可查看更多

添加资源
收藏资源
问题反馈

贡献用户

暂无贡献用户

VULHUB ™