Xiuno

Xiuno BBS 4.0.0 后台 设置->基本设置-> 站点名称 过滤不严 存在xss漏洞。 站点名称处输入

xss payload "><svg/onload=alert(0)>.

保存设置，刷新页面，可以看到xss漏洞触发。 admin/route/setting.php第37-38行代码，修改替换。

$sitename = htmlspecialchars(param('sitename', ''), ENT_QUOTES);
$sitebrief = htmlspecialchars(param('sitebrief', ''), ENT_QUOTES);