关键信息 漏洞类型 Stored Cross-Site Scripting (XSS) 影响版本 i-Educar (Portabilis) 2.9 漏洞描述 应用程序未能正确验证和清理用户输入,导致存储型跨站脚本漏洞,该漏洞存在于“Tipo de Usuario”输入字段中。 攻击向量 Network CVSS v3 基础指标 严重性: 中等 (4.3/10) 攻击复杂度: 低 所需权限: 低 用户交互: 无 范围: 不变 机密性影响: 低 完整性影响: 低 可用性影响: 无 CWE ID CWE-79 CVE ID CVE-2024-56051 弱点 CWE-20 漏洞细节 在编辑用户类型时,可以通过 访问。可以插入任意JavaScript代码,该代码将被存储并在用户返回到上一页时执行。 PoC (概念验证) 使用用户类型并插入payload: 请求示例 POST请求到 参数 包含XSS payload 影响 攻击者可能通过此攻击向量获取属于其他用户的信息,可能导致敏感信息泄露或其他恶意行为。 缓解措施 在PHP中解析用户输入时使用 来缓解跨站脚本漏洞。