碧生源微商城存在持久性xxs漏洞/已打管理员进后台/涉及订单数据

编号195831
Urlhttp://www.wooyun.org/bug.php?action=view&id=195831
漏洞状态未联系到厂商或者厂商积极忽略
漏洞标题碧生源微商城存在持久性xxs漏洞/已打管理员进后台/涉及订单数据
漏洞类型XSS跨站脚本攻击
厂商碧生源
白帽子by:安全者
提交日期2016-04-13 16:03:00
公开日期2016-05-28 16:10:00
修复时间(not set)
确认时间0000-00-00 00:00:00
Confirm Spend-1
漏洞标签持久型xss 存储型xss XSS
关注数0
收藏数0
白帽评级
白帽自评rank20
厂商评级
厂商评rank15
漏洞简介
None
漏洞细节

http://bsy.7cha.com/wsc下订单处地址栏可以插入xss代码,已打管理员cookeis,进入后台,各种数据泄露

1.png


2.png


3.png


4.png


5.png


6.png

POC

1.png


2.png


3.png


4.png


5.png


6.png

修复方案

这个不用多说,专家比我懂

状态信息 2016-04-13: 积极联系厂商并且等待厂商认领中,细节不对外公开
2016-05-28: 厂商已经主动忽略漏洞,细节向公众公开
厂商回复(not set)
回应信息未能联系到厂商或者厂商积极拒绝漏洞Rank:15 (WooYun评价)
Showing 1-1 of 1 item.
评论内容评论人点赞数评论时间

出乎意料·····

木易02016-04-13 16:46:00