漏洞描述
Calibre<=7.15.0中的未初始化用户输入允许攻击者执行反射型跨站脚本,攻击者可以将任意 JavaScript代码注入到/browse,从而允许攻击者构造一个 URL,当受害者点击该 URL 时,会在受害者浏览器的上下文中执行攻击者的 JavaScript 代码。如果Calibre 服务器运行时启用了身份验证,并且受害者当时已登录,则攻击者可以利用此漏洞使受害者代表攻击者在 Calibre 服务器上执行操作。
Calibre <= 7.15.0 XSS漏洞(CVE-2024-7008)
PoC代码
暂无相关漏洞推荐
- POCCVE-2024-6781: Calibre <= 7.14.0 Arbitrary File Read
- POCCVE-2024-6782: Calibre <= 7.14.0 Remote Code Execution
- POCCVE-2024-7008: Calibre <= 7.15.0 - Reflected Cross-Site Scripting (XSS)
- POCCVE-2024-6781: Calibre <= 7.14.0 Arbitrary File Read
- POCCVE-2024-6782: Calibre <= 7.14.0 Remote Code Execution
- POCCVE-2024-7008: Calibre <= 7.15.0 - Reflected Cross-Site Scripting (XSS)
- 无POCCalibre /cdb/cmd/list 代码执行漏洞(CVE-2024-6782)
- 无POCCalibre /cdb/cmd/export 文件读取漏洞(CVE-2024-6781)
- 无POCCalibre CVE-2024-7008反射型跨站脚本漏洞
- 无POCCalibre cmd list 远程代码执行漏洞
- 无POCCalibre cmd export 任意文件读取漏洞
- 无POCCalibre 低于 7.14.0 版本存在任意文件读取漏洞(CVE-2024-6781)
- 无POCCalibre /cdb/cmd/export 任意文件读取漏洞