客户支持系统1.0-存储的XSS

HackApt-37 Team · 04 9, 2025

＃利用标题:客户支持系统1.0-（XSS）跨站点
在“ ticket_list”中脚本脚本漏洞
＃日期: 28/11/2023
＃利用作者: Geraldo Alcantara
＃供应商HomePage:

https://www.sourcecodester.com/php/14587/customer-support-system-system-using-phpmysqli-source-code.html

＃软件link:

https://www.sourcecodester.com/download-code?nid=14587Title=customer+support+system+using+php%2fmysqli+with+source+code

＃版本: 1.0
＃在: Windows上测试
＃CVE : CVE-2023-49976
复制的步骤:
1-登录到应用程序。
2-访问门票创建/编辑页面。
3-创建/编辑机票，然后将恶意有效载荷插入
“主题”字段/参数。
PAYLOAD: DT/B/SCRACTALERT（document.domain）/脚本

H	Zenphoto 1.6-多个存储的XSS HackApt-37 Team 04 9, 2025 POC/?Day
H	ProjectsEnd R1605-存储的XSS HackApt-37 Team 04 9, 2025 POC/?Day
H	Newmark 0.13.0-存储的XSS HackApt-37 Team 04 9, 2025 POC/?Day
H	BlackCat CMS V1.4-存储的XSS HackApt-37 Team 04 9, 2025 POC/?Day
H	Rukovoditel 3.4.1-多个存储的XSS HackApt-37 Team 04 9, 2025 POC/?Day