PoC CVE 2024–55009
Alexandre Jr (r3dd1t) 2025年3月20日
在一次渗透测试中,能够识别出客户正在使用一个名为AutoBib的库目录服务。在分析此服务时,我发现了存在反射型XSS漏洞的参数。
本次测试在版本3.1.140上进行,这意味着任何低于或等于此版本的AutoBib服务都存在漏洞。
要复现该问题,请按照以下步骤操作:
- 访问该服务的主页,打开元素检查器,并搜索参数
WCE=topFrame&WCU=。 - 点击以在新的浏览器标签页中打开此参数,并为
WCU参数插入一个XSS载荷作为其值:WCU=<PAYLOAD>。 - 之后,你可以在页面上验证脚本是否被存储并执行。
FINISHED CSD0tFqvECLokhw9aBeRqvVnV5pGgK7OGUcVD/WIe7sHTgUqwQD1+ORvzwuY5m3B
