关键信息 漏洞类型 反射型跨站脚本(XSS) 漏洞描述 在 端点中发现了反射型跨站脚本(XSS)漏洞。 攻击者可以通过 和 参数注入恶意脚本。 漏洞细节 易受攻击的端点: 参数: , 应用程序未能验证和清理用户在 和 参数中的输入,导致恶意负载被注入并在用户的浏览器中执行。 证明概念 (PoC) Payload: 示例 URL: 影响 用户操作:攻击者可以执行任何用户可以执行的操作。 数据窃取:攻击者可以窃取数据或安装恶意软件。 账户妥协:攻击者可以操纵或窃取Cookie,或泄露敏感信息。 恶意代码:攻击者可以在用户的系统上执行恶意代码。 商业声誉损害:攻击者可以破坏公司网站或传播虚假信息。 误导:攻击者可以更改给用户的指令,如果目标是政府网站或提供重要资源,则可能非常危险。 参考资料 CVE-2025-8507 VulnDB-318606 I-Educar - Official Repository 发现者 Marcelo Queiroz by CVE-Hunters