关键信息 漏洞详情 CVE编号: CVE-2025-51502 漏洞类型: 反射型跨站脚本(XSS) 受影响版本: 最新版本在本地运行于 受影响页面: 漏洞描述 参数在页面创建端点中直接传递到 Blade 模板,未进行适当验证或清理。如果 包含恶意数据,如: 则会导致反射型 XSS,恶意脚本将在页面上下文中执行。 复现步骤 1. 访问干净的页面创建 URL: 2. 修改 参数以注入 XSS 有效载荷: 3. 观察注入的有效载荷被反射并触发 XSS,显示带有文档 cookie 的警告。 有效载荷示例 HTTP 请求示例 相关 CWE [CWE-79]: 不当中和输入到 Web 页面生成中的特殊元素 ('Cross-site Scripting') 漏洞影响 劫持会话 CSRF 攻击,因为 CSRF Token 在响应中被触发 DOM 操纵 推荐修复方案 在使用前对 参数进行服务器端清理和验证。 应用严格的白名单检查,仅允许已知安全的布局文件扩展名(例如: , )。 必要时使用 Laravel 的 或 来转义用户输入。