关键信息 漏洞概述 CVE编号: CVE-2025-8542 漏洞类型: 存储型跨站脚本(Stored XSS) 受影响系统: i-Educar 应用程序的 端点 技术细节 易受攻击的端点: 受影响参数: , 触发页面: Payload Used Proof of Concept (PoC) 1. 访问 端点。 2. 在 和 字段中插入上述 payload。 3. 其他字段可以留空。 4. 点击“Salvar”按钮。 5. 访问 页面时,将自动加载并触发存储的XSS。 影响 会话劫持 安装恶意软件 盗取浏览器中保存的凭证 将用户重定向到恶意网站 破坏应用程序界面 损害机构声誉 官方来源 CVE-2025-8542 on CVE.org VulDB Entry 结论 即使看似无害的字段如公司名称也可能成为XSS攻击的目标。当在管理面板中显示且未进行适当验证和输出编码时,它们构成真实威胁。确保每个表单上的输入验证——无论字段多么微不足道——对于保持Web应用程序安全至关重要。