关键漏洞信息 漏洞标题 Simple-User-Management-System V 1.0 CVE 编号 CVE-2025-3489 漏洞类型 Stored Cross Site Scripting (XSS) 影响的产品 Simple-User-Management-System-with-PHP-MySQL Vendor: https://github.com/nababusr Vulnerable Product Link: https://github.com/nababusr/Simple-User-Management-System-with-PHP-MySQL 技术细节与描述 问题描述: 应用程序源代码在注册页面 中对 和 字段没有进行任何输入验证,导致存储型跨站脚本攻击(Stored XSS)。 潜在影响: - Session Hijacking - Data Theft - Defacement - Malware Distribution - Phishing Attacks - Denial of Service - Spread of Malicious Content 观察与利用 受影响文件: 影响展示: 管理员和其他用户登录时的影响: - 可以通过在注册表单的 和 字段中输入 XSS Payloads 来执行恶意 JavaScript 代码。 利用步骤 1. 访问 页面。 2. 在 和 字段中输入 XSS Payloads。 3. 提交表单后,Payloads 将被存储并在其他用户访问 时执行。 示例 Payloads 结论 使用此模板的非 IT 人员可能会陷入此漏洞,导致其个人和公司声誉受损。了解这些攻击可以帮助提高安全性。