关键漏洞信息 漏洞标题 CVE-2025-6347: Cross Site Scripting (XSS) in Online-Blog-Admin-System-PHP-Project <= v1.0 作者 BUG Author: Md.Fahim Shakil Chowdhury Alias: OxCaptainFahim 产品信息 项目语言: PHP 测试环境: Localhost (http://localhost/responsive/resblog/blogadmin/) 受影响版本: <= v1.0 描述 关键问题: 在Online Blog Admin System (v1.0)的pageViewMembers.php页面中发现了一个严重的存储型XSS漏洞。该漏洞源于未对用户输入进行清理,导致恶意脚本(如 )在成员表格中执行。 漏洞详情 类型: 跨站脚本攻击 (XSS) 严重性: 严重 (存储型XSS); 中等 (其他问题) 受影响组件: pageViewMembers.php 受影响URL: http://localhost/responsive/resblog/blogadmin/admin/pageViewMembers.php 易受攻击参数: 用户输入字段 (全名, 地址, 城市, 电话) 攻击向量 注入恶意JavaScript或HTML到用户资料字段中,当管理员访问相关页面时执行。 利用过时库的漏洞放大攻击效果。 猜测默认管理员凭据以获得完全访问权限。 攻击载荷示例 存储型XSS载荷: 概念验证URL: http://localhost/responsive/resblog/blogadmin/admin/pageViewMembers.php 结果: 对用户1234和12345显示警告框和“被OxCaptainFahim黑了”的滚动字幕。 影响 存储型XSS: 可能导致会话劫持、数据泄露或未经授权的操作。 Bootstrap 3.3.4漏洞: 未清理的数据-属性可能执行脚本。 jQuery 1.12.4漏洞: 通过脆弱的DOM方法放大XSS攻击。 默认管理员凭据**: 使用默认凭据存在完全管理访问的风险。