关键信息 漏洞概述 CVE编号: CVE-2025-8346 漏洞类型: 反射型跨站脚本(XSS) 受影响文件: educar_aluno_lst.php 易受攻击参数: ref_cod_matricula 漏洞详情 易受攻击端点: educar_aluno_lst.php 参数: ref_cod_matricula 问题描述: 应用程序未能验证和清理用户在ref_cod_matricula参数中的输入,导致恶意脚本注入并反射回用户的浏览器执行。 证明概念(PoC) Payload: 完整Payload: 影响 用户行为: 攻击者可以执行用户能做的任何操作。 数据窃取: 攻击者可以窃取数据或在用户机器上安装恶意软件。 账户泄露: 攻击者可以操纵或窃取cookie,泄露敏感信息。 恶意代码: 攻击者可以在用户系统上执行恶意代码。 商业声誉损害: 攻击者可以篡改企业网站或传播虚假信息。 误导: 攻击者可以改变给用户的指令,如果目标是政府网站或提供重要资源的网站,这可能非常危险。 参考资料 CVE-2025-8346 VulnDB-318296 I-Educar - Official Repository 发现者 Natan Mala Morette by CVE-Hunters