BoidCMS 中通过文件参数在 /admin?page=media 中反射跨站点脚本 (CVE-2024-53255)
CVE编号
CVE-2024-53255
利用情况
暂无
补丁情况
N/A
披露时间
2024-11-26
漏洞描述
BoidCMS是一个免费开源的平面文件CMS,用于构建简单的网站和博客,使用PHP开发并使用JSON作为数据库。在某些版本中,存在一个跨站脚本(Cross-site Scripting,简称XSS)漏洞,存在于/admin?page=media端点的file参数中,攻击者可利用此漏洞注入任意JavaScript代码。这些代码可能被用于窃取用户的会话cookie、执行钓鱼攻击或篡改网站内容。该问题已在版本2.1.2中得到解决,建议所有用户进行升级。对于此漏洞,尚无已知的解决方案。
解决建议
建议您更新当前系统或软件至最新版,完成漏洞的修复。
文章评论