LiveHelperChat 4.61 - 通过Telegram机器人用户名实现存储型跨站脚本(XSS)漏洞

LiveHelperChat 4.61版本存在存储型跨站脚本漏洞,攻击者可通过在Telegram机器人用户名字段注入恶意载荷,当管理员查看或编辑该配置时执行任意JavaScript代码。

漏洞标题:LiveHelperChat 4.61 - 通过Telegram机器人用户名的存储型跨站脚本(XSS)

日期:2025年6月9日

漏洞作者:Manojkumar J (TheWhiteEvil)

Linkedin:https://www.linkedin.com/in/manojkumar-j-7ba35b202/

厂商主页:https://github.com/LiveHelperChat/livehelperchat/

软件链接:https://github.com/LiveHelperChat/livehelperchat/

版本:≤4.61

修复版本:4.61

分类:Web应用程序

测试环境:Mac OS Sequoia 15.5, Firefox

CVE:CVE-2025-51396

漏洞利用链接:https://github.com/Thewhiteevil/CVE-2025-51396

Live Helper Chat版本≤4.61存在一个存储型跨站脚本(XSS)漏洞,攻击者可通过向Telegram机器人用户名参数注入特制载荷来执行任意JavaScript代码。该载荷被存储后,当管理员或更高权限用户查看或编辑Telegram机器人用户名时会被执行。

复现步骤:

  1. 以操作员用户身份登录Live Helper Chat。
  2. 导航至设置 > 在线帮助配置 > Telegram机器人
  3. 机器人用户名字段中输入以下载荷:
1

   "><img src="x" onerror="prompt(1);">
  1. 保存设置。
  2. 重新访问Telegram配置面板 - 载荷将被执行。
comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次