关键信息 漏洞概述 类型: 存储型跨站脚本(XSS) 受影响端点: 参数: 影响版本与修复版本 受影响版本: < 3.4.4 已修复版本: 3.4.5 描述 总结: 在WeGIA应用的 端点中发现了一个存储型XSS漏洞。攻击者可以通过 参数注入恶意脚本,这些脚本存储在服务器上,并在用户访问受影响页面 时自动执行,构成重大安全风险。 详细信息: 受影响的端点是POST ,通过 参数触发XSS。应用程序未能验证和清理 参数中的用户输入,导致攻击者能够注入恶意脚本并存储在服务器上。每当受影响页面被访问时,恶意负载会在受害者的浏览器中执行,可能危及用户的数据和系统。 PoC (概念验证) Payload: 请求与响应: 提供了HTTP请求和响应的示例,展示了如何利用该漏洞。 影响 窃取会话Cookie: 攻击者可以使用窃取的会话Cookie劫持用户的会话并代表他们执行操作。 下载恶意软件: 攻击者可以诱骗用户下载并在他们的计算机上安装恶意软件。 劫持浏览器: 攻击者可以劫持用户的浏览器或提供基于浏览器的漏洞利用程序。 窃取凭证: 攻击者可以窃取用户的凭证。 获取敏感信息: 攻击者可以获得存储在用户账户或浏览器中的敏感信息。 篡改网站: 攻击者可以通过更改其内容来篡改网站。 误导用户: 攻击者可以改变给访问目标网站的用户的指示,误导他们的行为。 损害企业声誉: 攻击者可以通过篡改公司网站来损害企业的形象或传播错误信息。 严重性 CVSS v4基础指标: - 攻击向量: 网络 - 攻击复杂度: 低 - 所需权限: 无 - 用户交互: 主动 - 机密性影响: 低 - 完整性影响: 低 - 可用性影响: 无 后续系统影响指标: - 机密性: 高 - 完整性: 高 - 可用性: 高 CVE ID: CVE-2025-53929 弱点: CWE-79