关键信息 漏洞类型 Cross-Site Scripting (XSS): 反射型跨站脚本攻击 影响版本 受影响版本: <= 3.4.2 修复版本: 3.4.3 漏洞详情 易受攻击的端点: 参数: 问题描述: 应用程序未能验证和清理用户在 参数中的输入,导致恶意脚本注入。 PoC (概念验证) Payload: 请求示例: 影响 用户行为: 攻击者可以执行用户能执行的任何操作。 数据窃取: 攻击者可以窃取数据或在用户机器上安装恶意软件。 账户劫持: 攻击者可以操纵或窃取cookie,或泄露敏感信息。 恶意代码执行: 攻击者可以在用户的系统上执行恶意代码。 企业声誉损害: 攻击者可以诋毁公司网站或传播错误信息。 误导: 攻击者可以改变给用户的指示,如果目标是政府网站或提供重要资源,则可能非常危险。 CVSS评分 严重性: 中等 (6.4/10) CVE ID CVE-2025-53377 弱点 CWE-79