发布日期：2024-08-16
更新日期：2024-12-03

受影响系统：

ZZCMS ZZCMS <= 2023

描述：

---

CVE(CAN) ID: CVE-2024-43006

ZZCMS是中国ZZCMS团队的一套内容管理系统（CMS）。
ZZCMS 2023及之前版本ask/show.php文件第21行存在存储型跨站脚本漏洞，攻击者可以利用该漏洞向/user/ask_edit.php?action=add发送特制的POST请求，在请求的“content”参数中包含恶意JavaScript 代码，当用户访问ask/show_{newsid}.html页面时，注入的脚本会在用户浏览器中执行，从而可能窃取 cookie、会话令牌或其他敏感信息。

<**>

建议：

---

厂商补丁：

ZZCMS
-----
厂商尚未提供漏洞修复方案，请关注厂商主页更新：

http://www.zzcms.net/about/download.html

浏览次数：283
严重程度：0（网友投票）