Dedecms 储存型xss跨站漏洞（可打管理员） | wooyun-2013-023381| WooYun.org

当前位置：WooYun >> 漏洞信息

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2013-023381

漏洞标题：Dedecms 储存型xss跨站漏洞（可打管理员）

相关厂商：Dedecms

漏洞作者： Rookie

提交时间：2013-05-09 18:41

修复时间：2013-05-14 18:42

公开时间：2013-05-14 18:42

漏洞类型：xss跨站脚本攻击

危害等级：中

自评Rank：15

漏洞状态：漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

2013-05-09：细节已通知厂商并且等待厂商处理中
2013-05-14：厂商已经主动忽略漏洞，细节向公众公开

简要描述：

Dedecms 储存型xss跨站漏洞续（可打管理员）

详细说明：

注册会员登录-空间设置-空间公告-源码忘记过滤 <img 标签了.直接插代码吧...浏览会员空间后中招...还有一处没什么危害.加好友后对好友描述没过滤.. 看图吧

...发布文章-详细内容-源码

漏洞证明：

修复方案：

版权声明：转载请注明来源 Rookie@乌云

漏洞回应

厂商回应：

危害等级：无影响厂商忽略

忽略时间：2013-05-14 18:42

厂商回复：

漏洞Rank：6 (WooYun评价)

最新状态：

暂无

漏洞评价：

评论

2013-05-09 18:45 | 疯狗 ( 实习白帽子 | Rank:44 漏洞数:2 | 阅尽天下漏洞，心中自然无码。)

dede还维护么？
2013-05-09 18:47 | 梧桐雨 ( 核心白帽子 | Rank:1576 漏洞数:184 | 关注技术与网络安全)

@疯狗看到会修复，但不会回复
2013-05-09 18:52 | 疯狗 ( 实习白帽子 | Rank:44 漏洞数:2 | 阅尽天下漏洞，心中自然无码。)

@梧桐雨 ...... 这样，好吧，乌云给分。。
2013-05-09 20:19 | Rookie ( 普通白帽子 | Rank:288 漏洞数:78 | 123)

@疯狗不维护就拿去当0day 用..
2013-05-09 20:32 | 孤独雪狼 ( 普通白帽子 | Rank:710 漏洞数:64 | 七夕手机被偷，这坑爹的七夕啊。。。。)

@Rookie 求0day
2013-05-09 20:46 | Rookie ( 普通白帽子 | Rank:288 漏洞数:78 | 123)

两个合并到一起了....有点乱了..将就着看吧
2013-05-10 02:41 | 邪少 ( 实习白帽子 | Rank:58 漏洞数:7 )

还没公开啊。亲。
2013-05-10 08:35 | 围剿 ( 路人 | Rank:17 漏洞数:5 | Evil decimal)

亲爱的dede 又看到你了。。
2013-05-10 09:12 | Csser ( 路人 | Rank:11 漏洞数:6 )

通杀了？dede沦陷了- -
2013-05-10 09:34 | kelon ( 实习白帽子 | Rank:73 漏洞数:9 )

这个不是在通用奖励中？最少也有2000元以上了吧？
2013-05-10 09:42 | Rookie ( 普通白帽子 | Rank:288 漏洞数:78 | 123)

@kelon 大侠求2000元..
2013-05-11 10:52 | 点点 ( 普通白帽子 | Rank:214 漏洞数:38 | 准备申请سمَـَّوُوُحخ ̷̴̐...)

哇福利啊
2013-05-14 22:18 | Rookie ( 普通白帽子 | Rank:288 漏洞数:78 | 123)

@疯狗快来给点安慰分
2013-05-15 09:49 | 酱油甲 ( 普通白帽子 | Rank:645 漏洞数:59 | 打个酱油，吃个海蜇~)

@疯狗安慰下~~
2013-05-15 11:05 | 疯狗 ( 实习白帽子 | Rank:44 漏洞数:2 | 阅尽天下漏洞，心中自然无码。)

@Rookie 呃，小安慰了下