目標達成 すべての支援者に感謝 — 100%達成しました!

目標: 1000 CNY · 調達済み: 1336 CNY

100%

CVE-2025-68147— Open Source Point of Sale 跨站脚本漏洞

CVSS 8.1 · High EPSS 0.31% · P23
新しい脆弱性情報の通知を購読するログインして購読

I. CVE-2025-68147の基本情報

脆弱性情報

脆弱性についてご質問がありますか?Shenlongの分析が参考になるかご確認ください!
Shenlongの10の質問を表示 ↗

高度な大規模言語モデル技術を使用していますが、出力には不正確または古い情報が含まれる可能性があります。Shenlongはデータの正確性を確保するよう努めていますが、実際の状況に基づいて検証・判断してください。

脆弱性タイトル
opensourcepos has a Cross-site Scripting vulnerability
ソース: NVD (National Vulnerability Database)
脆弱性説明
Open Source Point of Sale (opensourcepos) is a web based point of sale application written in PHP using CodeIgniter framework. Starting in version 3.4.0 and prior to version 3.4.2, a Stored Cross-Site Scripting (XSS) vulnerability exists in the "Return Policy" configuration field. The application does not properly sanitize user input before saving it to the database or displaying it on receipts. An attacker with access to the "Store Configuration" (such as a rogue administrator or an account compromised via the separate CSRF vulnerability) can inject malicious JavaScript payloads into this field. These payloads are executed in the browser of any user (including other administrators and sales staff) whenever they view a receipt or complete a transaction. This can lead to session hijacking, theft of sensitive data, or unauthorized actions performed on behalf of the victim. The vulnerability has been patched in version 3.4.2 by ensuring the output is escaped using the `esc()` function in the receipt template. As a temporary mitigation, administrators should ensure the "Return Policy" field contains only plain text and strictly avoid entering any HTML tags. There is no code-based workaround other than applying the patch.
ソース: NVD (National Vulnerability Database)
CVSS情報
CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:C/C:H/I:H/A:N
ソース: NVD (National Vulnerability Database)
脆弱性タイプ
在Web页面生成时对输入的转义处理不恰当(跨站脚本)
ソース: NVD (National Vulnerability Database)
脆弱性タイトル
Open Source Point of Sale 跨站脚本漏洞
ソース: CNNVD (China National Vulnerability Database)
脆弱性説明
Open Source Point of Sale是opensourcepos开源的一个基于网络的销售点系统。 Open Source Point of Sale 3.4.0版本至3.4.2之前版本存在跨站脚本漏洞,该漏洞源于退货政策配置字段未正确清理用户输入,可能导致存储型跨站脚本攻击。
ソース: CNNVD (China National Vulnerability Database)
CVSS情報
N/A
ソース: CNNVD (China National Vulnerability Database)
脆弱性タイプ
N/A
ソース: CNNVD (China National Vulnerability Database)

影響を受ける製品

ベンダープロダクト影響を受けるバージョンCPE購読
opensourceposopensourcepos >= 3.4.0, < 3.4.2 -

II. CVE-2025-68147の公開POC

#POC説明ソースリンクShenlongリンク
1PoC repository for CVE-2025-68147: Stored Cross-Site Scripting (XSS) in OpenSourcePOS. Vulnerability allows privilege escalation via malicious JavaScript injection in the Store Config module. Includes payload details and patch verification (v3.4.0). Security Researcher: Aditya Singh (Nixon-H).https://github.com/Nixon-H/CVE-2025-68147-OSPOS-Stored-XSSPOC詳細
AI生成POCプレミアム
Qwen3.6-35B-A3B · 3957 文字数
Pro+限定の内容:
脆弱性再現の録画(実際のサンドボックス構築 + トリガー、限定)
脆弱性の原理を深く分析
トリガー条件と影響範囲
完全な実行可能POCコード
攻撃チェーンと緩和策の提案
POCパッケージのダウンロード
月間100件以上のAI生成枠

III. CVE-2025-68147のインテリジェンス情報

登录查看更多情报信息。

CVE-2025-68147 补丁与修复 (1)

CVE-2025-68147 厂商安全公告 (1)

CVE-2025-68147 其他参考 (1)

IV. 関連脆弱性

V. CVE-2025-68147へのコメント

まだコメントはありません


コメントを残す