关键信息 漏洞类型 Stored Cross-Site Scripting (XSS) 漏洞端点 参数 漏洞描述 应用程序未正确验证或清理 参数中的用户输入,导致攻击者可以注入恶意脚本并存储在服务器上。当受影响的页面被用户访问时,脚本会自动执行,对用户构成安全风险。 PoC (概念验证) Encoded Payload: Decoded Payload: 影响 Session hijacking: 盗取cookie或令牌以冒充用户 Malware delivery: 下载恶意内容的脚本插入 Credential theft: 通过伪造表单窃取用户名和密码 Sensitive data exposure: 访问受保护的应用程序数据 Browser takeover: 在用户的浏览器会话中运行任意命令 Phishing attacks: 重定向到恶意网站或登录页面 Website defacement: 改变平台上的可见内容 Reputational damage: 削弱受影响平台的信任 参考 CVE-2025-8509 VulnDB-318608 i-Educar - Official Repository 发现者 Marcelo Queiroz