jeecms v9.3 has a stroed xss vulnerability

最新推荐文章于 2025-03-07 10:01:20 发布
原创 最新推荐文章于 2025-03-07 10:01:20 发布 · 4.4k 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

Jeecmsv9.3版本中存在一个存储型XSS攻击漏洞,该漏洞允许远程攻击者注入任意网页脚本或HTML。通过在特定页面插入恶意代码并提交,攻击者能在目标网站上执行脚本,例如读取用户的cookie信息。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

jeecms v9.3 has a stroed xss vulnerability

An issue was discovered in jeecms v9.3 There is a stored XSS attacks vulnerability which allows remote attackers to inject arbitrary web script or HTML.

poc

<script>alert(document.cookie)</script>

Vulnerability trigger point
http://localhost//jeeadmin/jeecms/index.do#/content/update?type=update&id=130&noce_str=F3BR4K6
1.logged as admin
在这里插入图片描述
2.Choose this part
在这里插入图片描述
3.Click the green button to enter this page and insert code

在这里插入图片描述
4.Submit and view homepage
在这里插入图片描述

libieme
关注
从0到1解决JEECMS网站注入危机,企业自救实战手册
邓邓子的博客
06-17 601
本文聚焦 JEECMS 公司网站遭恶意注入的完整解决案例。当发现网站出现异常弹窗、加载缓慢等问题后,技术人员通过登录后台模板文件,锁定了以String.fromCharCode编码的注入脚本。随后借助 Linux 命令在 Tomcat 根目录下全面搜索含毒文件,通过精准删除注入代码行并设置文件只读权限,快速清除隐患。文中详细拆解了从危机发现、代码溯源、紧急处理到后续安全加固的全流程,结合具体命令实操与安全逻辑分析,为同类 CMS 系统的注入攻击防范提供了可复用的技术方案与经验参考。
jeecms v9.3 正式版 源码包.zip
07-06
jeecms v9.3 正式版 源码包 更新日志 1、栏目添加选择模型模板只选择一个报错 2、内容复用待审核查询报错(开源版) 3、根栏目添加内容报错 4、后台页面样式调整 5、后台编辑器分页问题 7、数据统计今日数据没有问题 8、公众号推送菜单和群发微信菜单获取微信端消息返回处理 9、OSS管理添加appkey_secretId后台未解密导致数据存储错误 10、会员中心留言列表报错 11、工作流节点空值处理 12、手机模板在静态页生成的情况下url错误处理 13、新增百度主动推送 14、内容删除同时删除静态页(含FTP) 15、栏目和内容静态化调整成只生成前10页 16、activation jcaptcha freemarker JAR部分用户反映下载不了,调整pom采用本地jar 17、栏目没有选择模型模板的情况下,发布内容选择不到模型问题处理 JEECMS简介 JEECMS是JavaEE版网站管理系统(Java Enterprise Edition Content Manage System)的简称。 · 基于java技术开发,继承其强大、稳定、安全、高效、跨平台等多方面的优点 · 采用hibernate3 spring mvc spring2 freemarker主流技术架构 · 懂html就能建站,提供最便利、合理的使用方式 · 强大、灵活的标签,用户自定义显示内容和显示方式 · 在设计上自身预先做了搜索引擎优化,增强对搜索引擎的友好性 · 完全生成全站静态页面,可自定义路径结构,无需urlrewrite · 轻松建设大规模网站,可通过次级域名建立子站群,各子站后台管理权限分离,全站实现单点登录 jeecms页面展示:   相关阅读 同类推荐:CMS系统
Some vulnerabilities in JEECMSV9
测试
02-15 449
之前遇到了一个JEECMS大概看了一下, 测试版本JEECMSV9.3 SSRF/src/main/java/com/jeecms/cms/action/member/UeditorAct.java123456789101112131415161718192021@RequestMapping(value = "/ueditor/getRemoteImage.jspx")public void ...
jeecms v9.3 正式版 安装包.zip
07-06
jeecms v9.3 正式版 安装包 更新日志 1、栏目添加选择模型模板只选择一个报错 2、内容复用待审核查询报错(开源版) 3、根栏目添加内容报错 4、后台页面样式调整 5、后台编辑器分页问题 7、数据统计今日数据没有问题 8、公众号推送菜单和群发微信菜单获取微信端消息返回处理 9、OSS管理添加appkey_secretId后台未解密导致数据存储错误 10、会员中心留言列表报错 11、工作流节点空值处理 12、手机模板在静态页生成的情况下url错误处理 13、新增百度主动推送 14、内容删除同时删除静态页(含FTP) 15、栏目和内容静态化调整成只生成前10页 16、activation jcaptcha freemarker JAR部分用户反映下载不了,调整pom采用本地jar 17、栏目没有选择模型模板的情况下,发布内容选择不到模型问题处理 JEECMS简介 JEECMS是一款支持栏目模型、内容模型交叉自定义、以及具备支付和财务结算的内容电商为一体内容管理系统:  对于不懂技术的用户来说,只要通过后台的简单设置即可自定义出集新闻管理、图库管理、视频管理、下载系统、文库管理、政务公开、作品管理、产品发布、供求信息、房屋租售、招聘信息、网络问卷调查及留言板于一体的综合性且不失个性化门户网站。  对于技术达人来说,jeecms不仅提供全部源码,而且在研发之初即全面的考虑了二次开发的高效性和代码的高移植性,是一款非常容易上手和二次开发的产品。  JEECMSv8版本是一款集PC互联网、移动互联网和微信网站于一体的网站群管理系统,jeecmsV7不仅可以通过H5自适应的方式实现手机网页模板,还可以采用v7专享的移动端模板,实现了同一个网站PC端和移动端所展现的风格或者内容一致或完全不一样的效果,让网站更适应用户的浏览体验。  JEECMSv8版本新增作者投稿、投稿管理、投稿佣金收益管理和内容赞赏功能,集成了支付宝和微信多种场景多终端的支付方案,为下一波内容电商从业人员提供技术动力。 JEECMSv8支持PC网站、手机网站、微信网站、手机APP和可移动触摸大屏,一套系统即可完成五端一体化管理的网站建设 JEECMS页面展示:     相关阅读 同类推荐:CMS系统
JEECMS后台任意文件编辑漏洞及拿shell
收集盒 Book box
07-11 5548
JEECMS是基于java技术开发,继承其强大、稳定、安全、高效、跨平台等多方面的优点 · 采用SpringMVC3+Spring3+Hibernate3+Freemarker主流技术架构 安全性做得非常变态,当网站安装完成后就不再允许执行任何目录下的jsp文件了(web.xml配置了过滤器禁止了很多种动态脚本)。     2.x后台: login/Jeecms.do 3.x
某版本JEECMS后台存在通用struts2命令执行漏洞
"黑色键盘's Bolg"
12-25 1697
某版本JEECMS后台存在通用struts2命令执行漏洞。 可通过谷歌搜索关键字inurl:login/jeecms.do,可获得多个存在st2的漏洞网站 该版本为jeecmsV2.x版本,漏洞系struts2框架自带的一个安全漏洞,由于jeecms在2010年开始停止了对jeecmsV2.X版本的维护,并建议广大用户统一升级到jeecms最新版本,估计还有很多用户至今未升级,在此,我
jsp 网站管理系统JEECMS v9.3 正式版 安装包 -源码.zip
02-26
源码,压缩包解压密码:www.cqlsoft.com
jsp网站管理系统JEECMS v9.3 正式版 源码包 -源码.zip
02-26
源码,压缩包解压密码:www.cqlsoft.com
jeecms v9.3 源码 下载
10-23
jeecms v9.3 是一个开源的内容管理系统(CMS),可用于构建和管理各种类型的网站。想要下载这个版本的源代码,你可以按照以下步骤进行操作。 首先,打开 jeecms 官方网站,通常可以通过搜索引擎进行查找。在官方...
玩了下JeeCms命令执行漏洞
NilLazy的博客
11-26 7020
第一个站点 首先看了下信息,是管理员权限 (好像这种命令执行漏洞都是administrator权限吧。。。 然后就是看下开没开3389了。。 Active Connections Proto Local Address Foreign Address State TCP 0.0.0.0:80 0.0.0
jeecms明文密码传输漏洞
qq_36397267的博客
06-01 2314
关于jeecms明文密码传输漏洞修改:思路:由于jeecms密码加密采用md532位加密算法,是不可逆过程,数据库存放的是加密后的密码,登陆认证是将前台传入的密码加密后和数据库进行对比,所以往后台提交密码为加密后的密码的话,势必数据库密码也要加密一次,然后做对比就可以了。前台修改://密码框密码进行加密function passwordMd5(){    var x=document.getEle...
jeecms_v9.3-src.zip
05-09
Java 文档, jdk文档 java 中文技术文档 Java 文档, jdk文档 java 中文技术文档 Java 文档, jdk文档 java 中文技术文档 Java 文档, jdk文档 java 中文技术文档
JEECMSV9.3
04-27
JEECMSV9.3,用于开发正站系统,SSH框架。
【原创】JEECMS v6~v7任意文件上传漏洞(1)
weixin_34160277的博客
01-19 2030
文章作者:rebeyond 受影响版本:v6~v7 漏洞说明: JEECMS是国内Java版开源网站内容管理系统(java cms、jsp cms)的简称。该系统基于java技术开发,继承其强大、稳定、安全、高效、跨平台等多方面的优点;采用SpringMVC3+Spring3+Hibernate3+Freemarker主流技术架构。广泛应用于政府(部委和省级政府部门、市、县、乡及委办局)、教...
jeecmsv9导入mysql详细步骤_jeecms v9.3数据库导入
weixin_42509616的博客
01-19 278
8# 发表于:2019-02-15 14:55:31 IP:27.220.*.*[Err]1067-Invaliddefaultvaluefor'login_time'[Err]##Sourcefortablejc_api_user_login#CREATETABLE`jc_api_user_login`(`id`bigint(20)NOTNULLAUTO_...
Jeewms cgformTemplatecontroller.do 任意文件读取漏洞复现(CVE-2024-27765)
最新发布
iSee857的博客
03-07 368
JEEWMS的/cgformTemplateController.do接口存在任意文件读取漏洞,未经身份验证的攻击者可以通过该漏洞读取服务器任意文件,从而获取服务器敏感信息。(CVE-2024-27765)
jeecms无法修改子栏目顺序,引出的源码漏洞
Soongp的博客
02-21 1923
老哥最近正在做一个cms的小项目(www.uni-orange.com),验收前期,逐一解决系统bug,直到一个bug的出现,害得老哥老老实实地坐了一天!! 简单介绍一下使用的cms框架:jeecms,国内开源的cms框架,其商业版jeecms并不开源,作为互联网产品,至今已经迭代到v8.1版本,这个数字说明:即使是一个产品,它仍然是存在问题,需要不断完善优化的。 相信多数使用过jeecms
jeecms升级shiro漏洞报错处理
l_degege的专栏
06-11 1215
一、问题描述 jeecmsv9中的shiro是1.4.0,存在漏洞,现在升级到1.6.0 1替换lib文件夹下的13个shiro包 2将cipherKey改成动态生成 https://blog.csdn.net/jlq_diligence/article/details/109790614 添加类、修改shiro-context.xml 3重启部署后报错 二、操作 应该缺少类org.owasp.encoder.Encode。 将encoder-1.2.2.jar放到lib下项目启动成功 https://
jeecmsv9-adminVue 打包出错
weixin_30432579的博客
07-22 178
F:\jeecms\jeecmsv9-adminVue>node build\build.js - building for production...Error processing file: static/css/app.d79d7e4222e14aa22beb1d61f3b4cfab.css (node:18376) UnhandledPromiseRejectionWarn...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值