Concrete CMS 9.4.3存储型XSS漏洞分析与利用

本文详细分析了Concrete CMS 9.4.3版本中存在的存储型XSS安全漏洞(CVE-2025-8573),攻击者可通过管理员权限在跟踪代码字段注入恶意脚本,影响所有访问网站的用户。

漏洞标题:Concrete CMS 9.4.3 - 存储型XSS

日期:2025年9月2日

漏洞作者:Chokri Hammedi

厂商主页:https://www.concretecms.org/

软件链接:https://www.concretecms.org/download_file/8e11ad24-cc1e-4880-8553-7c18ede22c50/2658

版本:9.4.3

CVE:CVE-2025-8573

测试环境:Windows XP

’’’ 描述: Concrete CMS管理面板中存在存储型XSS漏洞,允许管理员在网站的跟踪代码中注入恶意脚本, 这些脚本随后会在每个网站访问者访问时执行。 ’''

复现步骤:

  1. 使用管理员凭据登录Concrete CMS仪表板
  2. 导航至:仪表板 → 系统与设置 → SEO与统计 → 跟踪代码
  3. 找到"页脚跟踪代码"文本输入字段
  4. 插入恶意JavaScript载荷:<script>alert('XSS')</script>
  5. 保存配置更改
  6. 访问网站的任意前端页面

观察页面加载时JavaScript警报的执行情况

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次