关键漏洞信息 漏洞类型 Cross-Site Scripting (XSS) 影响的端点和参数 Vulnerable Endpoint: Parameter: 影响版本 Affected versions: <= 3.4.5 Patched versions: 3.4.6 描述 Summary: 在WeGIA应用的 端点中发现了一个反射型XSS漏洞。该漏洞允许攻击者在 参数中注入恶意脚本。 Details: 应用程序未能验证和清理 参数中的用户输入,导致恶意负载被注入并在服务器响应中反射回用户的浏览器,在受害者的浏览器上下文中执行。 PoC (概念验证) Payload: 影响 Impact: - 捕获用户的登录凭据。 - 对网站进行虚拟涂鸦。 - 执行用户能够执行的任何操作。 - 将用户重定向到竞争站点。 严重性 Severity: Moderate (6.5/10) CVSS v3 基础指标 Attack vector: Network Attack complexity: Low Privileges required: None User interaction: Required Scope: Unchanged Confidentiality: High Integrity: None Availability: None CVE ID CVE-2025-54078 弱点 CWE-79 发现者 Researcher: Ruslan Danilov