利用标题: Zenphoto 1.6-多个存储的XSS
Application: Zenphoto-1.6 XSS POC
版本: 1.6
BUGS: XSS
Technology: php
供应商URL: https://www.zenphoto.org/news/Zenphoto-1.6/
软件link: https://github.com/zenphoto/zenphoto/archive/v1.6.zip
发现日期: 01-05-2023
作者:MirabbasAğalarov
在: Linux上测试
2。技术细节POC
====================================================
### XSS-1 ###
步骤:
1。创建新专辑
2。写相册描述: iframe src='https://14.rs'/iframe
3。保存和查看专辑http://localhost/zenphoto-1.6/index.php?专辑=new-album或3http://localhost/zenphoto-1.6/
==================================================================================
### XSS-2 ###
步骤:
1。转到用户帐户并更改用户数据(http://localhost/zenphoto-1.6/zp-core/admin-users.php?pagp?page=用户)
2。将邮政编码更改为ScriptTalert(4)/脚本
3.如果管理用户信息导入为HTML,XSS将触发
POC视频:
Application: Zenphoto-1.6 XSS POC
版本: 1.6
BUGS: XSS
Technology: php
供应商URL: https://www.zenphoto.org/news/Zenphoto-1.6/
软件link: https://github.com/zenphoto/zenphoto/archive/v1.6.zip
发现日期: 01-05-2023
作者:MirabbasAğalarov
在: Linux上测试
2。技术细节POC
====================================================
### XSS-1 ###
步骤:
1。创建新专辑
2。写相册描述: iframe src='https://14.rs'/iframe
3。保存和查看专辑http://localhost/zenphoto-1.6/index.php?专辑=new-album或3http://localhost/zenphoto-1.6/
==================================================================================
### XSS-2 ###
步骤:
1。转到用户帐户并更改用户数据(http://localhost/zenphoto-1.6/zp-core/admin-users.php?pagp?page=用户)
2。将邮政编码更改为ScriptTalert(4)/脚本
3.如果管理用户信息导入为HTML,XSS将触发
POC视频: