发布日期：2021-06-22
更新日期：2021-06-23

受影响系统：

Ice Hrm Ice Hrm 29.0.0

描述：

---

CVE(CAN) ID: CVE-2021-34243

Ice Hrm是一个免费开源的人力资源管理系统，拥有丰富的Ajax用户界面接口。
Ice Hrm 29.0.0.的操作系统存在跨站脚本漏洞。攻击者通过上传到“文档管理”选项卡的特制文件利用该漏洞执行任意Web脚本或HTML。

<**>

建议：

---

厂商补丁：

Ice Hrm
-------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

https://github.com/xoffense/POC/blob/main/Stored%20XSS%20via%20malicious%20file%20upload%20in%20ICE%20Hrm%20Version%2029.0.0.OS.md

浏览次数：751
严重程度：0（网友投票）