关键信息 漏洞类型 Stored Cross-Site Scripting (XSS) 漏洞位置 Vulnerable Endpoint: Parameter: 漏洞详情 应用程序未能正确验证和清理 参数中的用户输入,导致攻击者可以注入恶意脚本并存储在服务器上。当受影响的页面被访问时,恶意脚本会在用户的浏览器中自动执行。 证明概念 (PoC) Payload: 该payload通过 参数提交,并在应用程序界面中持久化。访问受影响页面时,payload在浏览器中渲染并执行,确认了存储型XSS漏洞的存在。 影响 Stealing session cookies: 攻击者可以劫持用户会话并代表用户执行操作。 Delivering malware: 用户可能被诱骗下载和执行恶意软件。 Hijacking browsers: 通过JavaScript执行完全控制用户的浏览器。 Credential theft: 获取用户名、密码和其他敏感信息。 Exposing sensitive data: 访问存储在应用程序或浏览器中的数据。 Website defacement: 更改用户查看的网页内容。 User redirection: 将受害者重定向到钓鱼或恶意网站。 Damaging business reputation: 如果用户受到源自应用程序的攻击,可能会失去信任。 参考资料 CVE-2025-8784 VulnDB-31912 I-Educar - Official Repository 发现者 Marcelo Queiroz by CVE-Hunters