i-Educar 中的反射式跨站脚本 (CVE-2024-45057)
CVE编号
CVE-2024-45057利用情况
暂无补丁情况
N/A披露时间
2024-08-29漏洞描述
i-Educar是一款免费、完全在线的学校管理软件,适用于学校秘书、教师、协调员和区域经理。由于HTML字段值动态生成时缺乏对用户控制参数的清理,导致存在跨站脚本(XSS)攻击的风险。在ieducar/intranet/include/clsCampos.inc.php文件中动态生成HTML字段时,没有进行正确的验证或清理,将用户控制的值直接反映在页面HTML中。这使得攻击者能够向参数注入特定的XSS负载。成功利用这一漏洞可以使受害者点击一个易受攻击的URL,从而在浏览器中执行JavaScript脚本。由于会话cookie的配置中定义了HttpOnly和SameSite=Lax标志,攻击者很难窃取会话或强制受害者在应用程序中执行操作。此问题已经被修复,但尚未发布新版本。建议用户联系开发者并协调更新时间表。解决建议
建议您更新当前系统或软件至最新版,完成漏洞的修复。
参考链接 |
|
|---|---|
| https://github.com/portabilis/i-educar/commit/f2d768534aabc09b2a1fc8a5cc5f9c9... | |
| https://github.com/portabilis/i-educar/security/advisories/GHSA-fqwh-c3c8-7gwj |
- 攻击路径 网络
- 攻击复杂度 低
- 权限要求 无
- 影响范围 未更改
- 用户交互 需要
- 可用性 低
- 保密性 低
- 完整性 低
| CWE-ID | 漏洞类型 |
Exp相关链接
版权声明
本站原创文章转载请注明文章出处及链接,谢谢合作!
评论