| Título | elecV2P <=3.8.3 Reflected XSS |
|---|
| Descrição | The /logs endpoint reflects the filename parameter directly into HTML output via res.write(... ${log} ...) without escaping. An attacker can inject arbitrary HTML/JavaScript through the filename value, executing in any visitor's browser. No authentication required.
|
|---|
| Fonte | ⚠️ https://github.com/elecV2/elecV2P/issues/201 |
|---|
| Utilizador | ZAST.AI (UID 87884) |
|---|
| Submissão | 13/03/2026 05h30 (há 18 dias) |
|---|
| Moderação | 27/03/2026 15h12 (14 days later) |
|---|
| Estado | Aceite |
|---|
| Entrada VulDB | 353900 [elecV2 elecV2P até 3.8.3 Endpoint /logs filename Script de Site Cruzado] |
|---|
| Pontos | 18 |
|---|