Microweber跨站脚本漏洞
Microweber 是美国Microweber社区的一套可提供拖拽功能的网上商店管理系统。该系统包括添加商品、图片等模块。
一、漏洞分析
公开日期:2022-03-18
漏洞编号:CNVD-2022-20515/CVE-2022-0954
危害等级:高危
漏洞描述:Microweber 1.2.11之前版本存在跨站脚本漏洞,该漏洞源于模板名称、模板类型、发件人名称、发件人电子邮件和主题参数缺少对用户提供的数据和输出的数据校验过滤。攻击者可利用该漏洞在客户端执行JavaScript代码窃取其cookie来危及该用户。
二、漏洞影响产品
Microweber Microweber <1.2.11
三、漏洞处置建议
厂商尚未提供漏洞修复方案,请关注厂商主页更新:
https://github.com/microweber/microweber/commit/955471c27e671c49e4b012e3b120b004082ac3f7
