#利用title:在gitea中存储XSS
#日期: 27/08/2024
#利用Authors: Catalin Iovita Alexandru Postolache
#供应商homepage:(https://github.com/go-gitea/gitea)
#版本: 1.22.0
#测试在: Linux 5.15.0-107,GO 1.23.0
#CVE: CVE-2024-6886
##漏洞描述
Gitea 1.22.0容易受到存储的跨站点脚本(XSS)漏洞的影响。此漏洞使攻击者可以注入存储在服务器上并在另一个用户会话中执行的恶意脚本。
##复制步骤
1。登录到应用程序。
2.创建一个新的存储库或通过单击`$ username/$ repo_name/settings'Endpoint的“设置”按钮来修改现有存储库。
3。在描述字段中,输入以下有效载荷:
a href=javascript:alert()XSS test/a
4。保存更改。
5。单击存储库描述后,有效载荷已成功注入描述字段。通过单击消息,将出现一个警报框,指示注入脚本的执行。
#日期: 27/08/2024
#利用Authors: Catalin Iovita Alexandru Postolache
#供应商homepage:(https://github.com/go-gitea/gitea)
#版本: 1.22.0
#测试在: Linux 5.15.0-107,GO 1.23.0
#CVE: CVE-2024-6886
##漏洞描述
Gitea 1.22.0容易受到存储的跨站点脚本(XSS)漏洞的影响。此漏洞使攻击者可以注入存储在服务器上并在另一个用户会话中执行的恶意脚本。
##复制步骤
1。登录到应用程序。
2.创建一个新的存储库或通过单击`$ username/$ repo_name/settings'Endpoint的“设置”按钮来修改现有存储库。
3。在描述字段中,输入以下有效载荷:
a href=javascript:alert()XSS test/a
4。保存更改。
5。单击存储库描述后,有效载荷已成功注入描述字段。通过单击消息,将出现一个警报框,指示注入脚本的执行。