| タイトル | elecV2P <=3.8.3 Reflected XSS |
|---|
| 説明 | The /logs endpoint reflects the filename parameter directly into HTML output via res.write(... ${log} ...) without escaping. An attacker can inject arbitrary HTML/JavaScript through the filename value, executing in any visitor's browser. No authentication required.
|
|---|
| ソース | ⚠️ https://github.com/elecV2/elecV2P/issues/201 |
|---|
| ユーザー | ZAST.AI (UID 87884) |
|---|
| 送信 | 2026年03月13日 05:30 (18 日 ago) |
|---|
| モデレーション | 2026年03月27日 15:12 (14 days later) |
|---|
| ステータス | 承諾済み |
|---|
| VulDBエントリ | 353900 [elecV2 elecV2P 迄 3.8.3 Endpoint /logs filename クロスサイトスクリプティング] |
|---|
| ポイント | 18 |
|---|