发布日期：2025-03-20
更新日期：2025-06-13

受影响系统：

flatpressblog/flatpress flatpressblog/flatpress 1.3

描述：

---

CVE(CAN) ID: CVE-2024-4023

flatpressblog/flatpress是FlatPress开源的一个轻量级、易于设置的平面文件博客引擎。
flatpressblog/flatpress 1.3版本存在跨站脚本漏洞，该漏洞源于用户上传扩展名为“.xsig”的文件并直接访问该文件时，服务器会以程序/八位字节流的内容类型进行响应并将文件作为HTML文件进行处理，攻击者可利用该漏洞执行任意JavaScript代码，从而窃取用户cookies、发送HTTP请求并访问同源的内容。

<**>

建议：

---

厂商补丁：

flatpressblog/flatpress
-----------------------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：
https://huntr.com/bounties/ed803c13-0858-4c22-93ba-bf2384ab1e9d

浏览次数：45
严重程度：0（网友投票）