Subrion 4.2.1 – ‘Email’ Persistant Cross-Site Scripting

# Title: Subrion 4.2.1 – Script persistente entre sites ‘Email’
# Data: 2019-10-07
# Autor: Min Ko Ko (Creatigon)
# Página inicial do fornecedor: https://subrion.org/
# CVE: https://nvd.nist.gov/vuln/detail/CVE-2019-17225
# Site: https://l33thacker.com
# Descrição: permite XSS através do painel / membros / nome de usuário, nome completo ou
# Campo de e-mail, também conhecido como “Atualização de JSON do membro administrador”.

Primeiro, faça login no painel com credencial do usuário, Vá para a tag de membro no menu esquerdo.

http: // localhost / painel / membros /

Nome de usuário, Nome completo, E-mail são editáveis com um clique duplo. Insira o
seguinte carga útil

<img src = x onerror = alerta (document.cookie)>