发布日期：2024-08-16
更新日期：2024-12-03

受影响系统：

ZZCMS ZZCMS <= 2023

描述：

---

CVE(CAN) ID: CVE-2024-43009

ZZCMS是中国ZZCMS团队的一套内容管理系统（CMS）。
ZZCMS 2023及之前版本user/login.php文件第24行存在反射型跨站脚本漏洞，该漏洞源于未过滤HTTP_REFERER头便将其插入HTML响应，攻击者可构造包含恶意Referer头字段的特制URL并诱骗用户访问，进而在受害者浏览器中执行任意JavaScript代码，可能导致会话劫持、网页篡改或其他恶意行为。

<**>

建议：

---

厂商补丁：

ZZCMS
-----
厂商尚未提供漏洞修复方案，请关注厂商主页更新：

http://www.zzcms.net/about/download.html

浏览次数：287
严重程度：0（网友投票）