Discuz! X2.5 类似鸡肋存储Xss

- AV AC AU C I A
发布: 2025-04-13
修订: 2025-04-13

### 简要描述: 鸡肋存储XSS ### 详细说明: 貌似鸡肋,因为要造成XSS是需要有一定的权限,比如论坛的斑竹什么的,普通会员的话好像不行,因为存在XSS的地方是一个转账功能,而在此转账功能下面还有一个留言框,而造成XSS的就是这个留言框。此留言框未做任务过滤处理。经测试用一个有权限的帐号给一个普通帐号转账附带留言XSS.可成功获取cookie. ### 漏洞证明: [<img src="https://images.seebug.org/upload/201209/160030162215410ce04b9f532eabccae927b294f.png" alt="" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201209/160030162215410ce04b9f532eabccae927b294f.png) [<img src="https://images.seebug.org/upload/201209/1600300967d2fe9b88ae24112d14acacc32f4752.png" alt="" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201209/1600300967d2fe9b88ae24112d14acacc32f4752.png) [<img src="https://images.seebug.org/upload/201209/160030048bf00316d6a79ffd907873c5900011de.png" alt="" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201209/160030048bf00316d6a79ffd907873c5900011de.png)

0%
暂无可用Exp或PoC
当前有0条受影响产品信息