#利用标题: Sitefinity 15.0-跨站点脚本(XSS)
#日期: 2023-12-05
#利用作者: Aldi Saputra Wahyudi
#供应商homepage3360 https://www.progress.com/sitefinity-cms
#版本: 15.0.0
#在: Windows/Linux上测试
#CVE : CVE-2023-27636
#description:在Sitefinity CMS的后端,在使用SF-编辑器的所有功能中都发现了跨站点脚本漏洞
#复制步骤:
攻击者作为较低的特权
受害者作为更高的特权
1。登录作为攻击者
2。使用SF编辑器转到该功能,请访问新闻页面作为示例
3。创建或编辑新闻项目
4。在内容表格上,将XSS有效载荷插入为HTML
5。插入有效载荷后,单击内容表格(只需单击)并发布或保存
6。如果受害人访问XSS有效载荷页面,则将触发XSS
payload: noalertiframe src='javascript:alert(document.domain);'
#日期: 2023-12-05
#利用作者: Aldi Saputra Wahyudi
#供应商homepage3360 https://www.progress.com/sitefinity-cms
#版本: 15.0.0
#在: Windows/Linux上测试
#CVE : CVE-2023-27636
#description:在Sitefinity CMS的后端,在使用SF-编辑器的所有功能中都发现了跨站点脚本漏洞
#复制步骤:
攻击者作为较低的特权
受害者作为更高的特权
1。登录作为攻击者
2。使用SF编辑器转到该功能,请访问新闻页面作为示例
3。创建或编辑新闻项目
4。在内容表格上,将XSS有效载荷插入为HTML
5。插入有效载荷后,单击内容表格(只需单击)并发布或保存
6。如果受害人访问XSS有效载荷页面,则将触发XSS
payload: noalertiframe src='javascript:alert(document.domain);'
