LiveHelperChat 4.61 存储型跨站脚本漏洞(XSS)分析与利用

本文详细分析了LiveHelperChat 4.61版本中存在的存储型跨站脚本漏洞(XSS),攻击者可通过个人预设消息注入恶意脚本,当管理员或操作员查看并发送消息时触发执行。文章提供了复现步骤、漏洞影响及修复建议。

漏洞标题:LiveHelperChat 4.61 - 通过个人预设消息实现存储型跨站脚本(XSS)

日期:2025年9月6日

漏洞作者:Manojkumar J(TheWhiteEvil)

领英:https://www.linkedin.com/in/manojkumar-j-7ba35b202/

厂商主页:https://github.com/LiveHelperChat/livehelperchat/

软件链接:https://github.com/LiveHelperChat/livehelperchat/

版本:≤4.61

修复版本:4.61

类别:Web应用程序

测试环境:Mac OS Sequoia 15.5, Firefox

CVE:CVE-2025-51400

漏洞利用链接:https://github.com/Thewhiteevil/CVE-2025-51400

Live Helper Chat版本≤4.61中存在一个存储型跨站脚本(XSS)漏洞,攻击者可通过向个人预设消息注入精心构造的载荷来执行任意JavaScript代码。当管理员或操作员用户查看消息并尝试发送预设消息时,存储的JavaScript代码将在其浏览器上下文中执行。

复现步骤:

  1. 以操作员身份登录。
  2. 导航至个人预设消息页面。
  3. 创建新的个人预设消息,输入以下载荷: 
    1

    "><img src="x" onerror="prompt(1);">
  4. 保存更改。
  5. 尝试使用该个人预设消息,跨站脚本(XSS)将执行。
comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次