关键信息 漏洞概述 CVE ID: CVE-2025-51541 类型: 存储型XSS + CSRF 影响: 在用户浏览器中执行任意JavaScript 攻击向量: 远程(无需身份验证) 受影响产品: Shopware < 6.2.3 漏洞详情 参数: 未能正确对用户输入进行清理,导致恶意JavaScript注入并持久存在于应用配置中。 利用方法 1. 攻击者创建一个带有自动提交表单的恶意HTML页面,将构造的payload发送至 。 2. 字段接收并存储payload,未进行适当编码。 3. 用户访问安装程序UI时,payload在浏览器中执行。 概念验证 (PoC) 发现者 Vineet Raj Dhati, 安全研究员 参考 影响页面: https://www.dax-tokaido.com/recovery/install/database-configuration/ 厂商: Shopware 缓解措施 升级至Shopware 6.2.3或更高版本以避免此漏洞。始终实施CSRF防护和适当的输入验证。