CVE:https://cve.mitre.org/cgi-bin/cvename.cgi?name=2020-24723
Exploit Title: User Registration & Login and User Management System 2.1— Stored Cross-Site Scripting
此漏洞可能导致攻击者在用户注册注入XSS Padylod,每次管理员从管理面板访问管理用户部分时,XSS触发器和攻击者可以根据精心制作的Payload窃取cookie。
漏洞参数:Last Name
复现步骤:
- 1,访问注册页面
- 2,填写详细信息,将XSS Padyload <script>alert(“XSS”)</script>放入名字,姓氏。
- 3,访问管理面板。可以看到我们的有效载荷被执行。
ref:
https://medium.com/bugbountywriteup/cve-2020-24723-89ea76588286