关键漏洞信息 漏洞详情 CVE编号: CVE-2025-51501 受影响版本: 最新版本,本地测试于 https://localhost.dev 受影响站点页面: /api/live_edit/live_edit.module_settings?id=... 漏洞类型: 反射型跨站脚本(XSS) 漏洞细节 问题描述: 参数在 API 端点中未正确清理输入,允许反射型 XSS。 示例易受攻击的用法: 复现步骤 1. 步骤 1: 以管理员身份登录: 2. 步骤 2: 访问以下构造的 URL: 3. 步骤 3: 观察触发的警告,确认 XSS。 4. 步骤 4 (严重性评估): 使用读取文档 cookie 的有效载荷: 使用的有效载荷 HTTP 请求示例 相关 CWE CWE 79: 不当的输入中和导致 Web 页面生成(跨站脚本) 漏洞影响 CSRF 绕过,因为 X-CSRF-Token 在响应中被泄露。 客户端利用。 推荐修复措施 使用 Laravel 的 验证 参数。 在渲染前使用 Laravel 的 函数转义数据。 实施严格的白名单策略,限制动态渲染时的值。 应用内容安全策略(CSP)头以减少 XSS 影响。 时间线 2025-05-30: 发现漏洞 2025-06-30: 报告给开发人员