BoxBilling跨站脚本漏洞
BoxBilling是BoxBilling个人开发者的开源计费和客户管理软件。
一、漏洞分析
公开日期:2023-05-11
漏洞编号:CNVD-2023-36286/CVE-2020-23647
危害等级:高危
漏洞描述:BoxBilling 4.19,4.19.1,4.20,4.21版本存在跨站脚本漏洞,该漏洞源于通过提交新票据的表单可以运行任意代码。攻击者可利用该漏洞向Web页面中注入JavaScript代码。
二、漏洞影响产品
BoxBilling BoxBilling 4.19
BoxBilling BoxBilling 4.19.1
BoxBilling BoxBilling 4.20
BoxBilling BoxBilling 4.21
三、漏洞处置建议
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://github.com/boxbilling/boxbilling/issues/596/
