| tiêu đề | elecV2P <=3.8.3 Reflected XSS |
|---|
| Mô tả | The /logs endpoint reflects the filename parameter directly into HTML output via res.write(... ${log} ...) without escaping. An attacker can inject arbitrary HTML/JavaScript through the filename value, executing in any visitor's browser. No authentication required.
|
|---|
| Nguồn | ⚠️ https://github.com/elecV2/elecV2P/issues/201 |
|---|
| Người dùng | ZAST.AI (UID 87884) |
|---|
| Đệ trình | 13/03/2026 05:30 (cách đây 4 các tháng) |
|---|
| Kiểm duyệt | 27/03/2026 15:12 (14 days later) |
|---|
| Trạng thái | được chấp nhận |
|---|
| Mục VulDB | 353900 [elecV2 elecV2P đến 3.8.3 Endpoint /logs filename Tập lệnh chéo trang] |
|---|
| điểm | 18 |
|---|