关键漏洞信息 漏洞标题: LiveHelperChat <=4.61 - Stored Cross Site Scripting (XSS) via Facebook Integration Page Name Field 日期: 09/06/2025 漏洞作者: Manojkumar J (TheWhiteEvil) 厂商主页: https://github.com/LiveHelperChat/livehelperchat/ 软件链接: https://github.com/LiveHelperChat/livehelperchat/ 版本: <=4.61 修复版本: 4.61 类别: Web 应用程序 测试环境: Mac OS Sequoia 15.5, Firefox CVE编号: CVE-2025-51398 漏洞利用链接: https://github.com/Thewhiteevil/CVE-2025-51398 参考链接: https://livehelperchat.com/4.61v-security-fixes-724a.html 漏洞描述 Live Helper Chat 版本 <=4.61 存在一个存储型跨站脚本(XSS)漏洞,攻击者可以通过在 Facebook 页面集成的名称字段中注入恶意 payload 来执行任意 JavaScript 代码。当具有更高权限的用户(如操作员或管理员)访问或编辑 Facebook 页面集成时,payload 将被存储并执行,导致存储型跨站脚本(XSS)。 复现步骤 1. 以操作员身份登录。 2. 导航到你的 Facebook 页面集成。 3. 创建新的 Facebook 页面集成,在 Facebook 页面集成名称字段中输入以下 payload: 4. 保存更改。 5. 当具有更高权限的用户访问或编辑 Facebook 页面集成时,payload 将被存储并执行,导致存储型跨站脚本(XSS)。