### 简要描述:
好吧,纯粹业余的,在使用公司内部论坛的时候无意间发现的,百度谷歌都没搜到类似的报告,姑且认为这个漏洞没过时吧……
### 详细说明:
程序解析图片Exif信息所致。
首先,图片详细信息我们可以自己编辑,如图:
[<img src="https://images.seebug.org/upload/201407/221029189f46fb0a8f6881e5860809a5f0d438d1.jpg" alt="1.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201407/221029189f46fb0a8f6881e5860809a5f0d438d1.jpg)
然后,回帖添加附件的时候只要不插入附件就可以让页面读取图片exif信息并运行脚本,就像这样……
[<img src="https://images.seebug.org/upload/201407/22103249291d4b767941920d45f818351b671ba4.jpg" alt="2.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201407/22103249291d4b767941920d45f818351b671ba4.jpg)
[<img src="https://images.seebug.org/upload/201407/221032577524727bbcb4923aac18d0ea38bb400e.jpg" alt="3.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201407/221032577524727bbcb4923aac18d0ea38bb400e.jpg)
### 漏洞证明:
京公网安备 11010502034610号
暂无评论