一、漏洞CVE

CVE-2022-44279

二、漏洞介绍

Garage Management System是一个使用PHP/MySQL的车库管理系统，该项目源代码可供免费下载。车库管理软件帮助你管理你所有的车辆、汽车和摩托车。它为你提供了一个完整的车库管理解决方案，使你能够检查你的车辆和摩托车的状态，跟踪他们的账单，监测他们的使用情况，并在每天或日期期限内生成使用报告。你可以使用这个软件，以最无忧无虑和最方便的方式在旅途中管理你的车辆。它还为你提供先进的功能，帮助你在车库维修期间管理你的车辆。如果你打算购买一个最好的车库管理软件，那么你可以使用我的高级车库管理软件，这是该软件的下一个版本。Garage Management System v1.0存在通过/garage/php_action/createBrand.php进行跨网站脚本攻击的漏洞。

三、危害影响

1. 钓鱼欺骗：最典型的就是利用目标网站的反射型跨站脚本漏洞将目标网站重定向到钓鱼网站，或者注入钓鱼 Javascript 以监控目标网站的表单输入，甚至发起基于 DHTML 更高级的钓鱼攻击方式。 2. 网站挂马：跨站后利用 IFrame 嵌入隐藏的恶意网站或者将被攻击者定向到恶意网站上，或者弹出恶意网站窗口等方式都可以进行挂马攻击。 3. 身份盗用：Cookie 是用户对于特定网站的身份验证标志，XSS 可以盗取用户的 Cookie，就可以获取到用户对网站的操作权限，从而查看用户隐私信息。 4. 垃圾信息发送：在社交网站社区中，利用 XSS 漏洞借用被攻击者的身份发送大量的垃圾信息给特定的目标群。 5. 劫持用户 Web 行为：一些高级的 XSS 攻击甚至可以劫持用户的 Web 行为，从而监视用户的浏览历史、发送与接收的数据等等。 6. XSS 蠕虫：借助 XSS 蠕虫病毒还可以用来打广告、刷流量、挂马、恶作剧、破坏数据、实施 DDoS 攻击等。 7. 控制受害者机器向其他系统发起攻击。 

影响版本如下：

Garage Management System v1.0

四、修复建议

目前厂商暂未发布修复措施解决此安全问题，建议使用此软件的用户随时关注厂商主页或参考网址以获取解决办法：https://www.sourcecodester.com/php/15485/garage-management-system-using-phpmysql-source-code.HTML

五、相关链接

https://nvd.nist.gov/vuln/detail/CVE-2022-44279