CNVD-ID:

    CNVD-2024-01190

漏洞描述:

    RPCMS是一个应用软件，一个网站CMS系统。

    RPCMS v3.5.5版本存在跨站脚本漏洞，该漏洞源于组件/logs/dopost.html中对用户提供的数据缺乏有效过滤与转义，攻击者可利用该漏洞通过注入精心设计的有效载荷执行任意Web脚本或HTML。

漏洞复现:    

    1、"设置"->"基本设置"->"统计代码":

2、"导航"：

3、“文章”->"超链接“：

Change the burpsutie packet capture, remove http://, and encode the HTML entity in front of alert():
payload: javascript%26%23x3a%3Balert(document.cookie)