关键信息 漏洞类型 Cross-Site Scripting (XSS): 反射型跨站脚本攻击 漏洞端点 URL: 参数: , , 漏洞详情 应用程序未能对 , , 和 参数的用户输入进行验证和清理,导致恶意脚本注入并反射回用户的浏览器。 证明概念 (PoC) 编码负载: 解码负载: 请求示例 影响 用户行为:攻击者可以执行用户能执行的任何操作。 数据窃取:攻击者可以窃取数据或在用户机器上安装恶意软件。 账户泄露:攻击者可以操纵或窃取cookie,或泄露机密信息。 恶意代码:攻击者可以在用户系统上执行恶意代码。 商业声誉损害:攻击者可以破坏公司网站或传播错误信息。 误导:攻击者可以更改给用户的指示,这可能很危险,特别是如果目标是政府网站或提供重要资源。 参考资料 CVE-2025-8785 VulnDB-13913 I-Educ - Official Repository 发现者 Marcelo Queiroz CVE-Hunters