关键信息总结 漏洞概述 CVE编号: CVE-2025-61454 披露日期: 2025年10月13日 严重性: MEDIUM (CVSS v3.1 Score: 6.1) 漏洞类型: 反射型XSS(跨站脚本攻击) 影响产品 厂商: Independent (Rahsidhya [12]) 项目: Ecommerce 版本: 1.0 易受攻击的端点: http://localhost/e-commerce-main/search.php 漏洞细节 问题描述: 在 参数中,未经过滤的输入直接被反射到响应HTML中,允许注入任意JavaScript代码。 示例请求: 预期结果: 浏览器执行JavaScript代码,显示一个带有值 的警告框。 影响 执行任意JavaScript代码 钓鱼或冒充通过HTML注入 会话劫持或令牌窃取 强制浏览恶意内容 通过搜索登录表单进行凭证收集 搜索结果页面的篡改 推荐修复措施 使用 或其他等效方法对所有未过滤输出进行编码,然后再渲染为HTML。 实施服务器端输入验证,特别是对 参数。 设置强大的内容安全策略(CSP)头以防止内联脚本执行。 避免直接嵌入未过滤的用户输入到HTML响应中。 根据上下文(HTML、JavaScript、URL、CSS)实施适当的输出编码。 使用现代框架,这些框架提供自动化的XSS防护。 时间线 漏洞发现日期: 2025年9月16日 公开披露日期: 2025年10月13日 补丁可用性: 披露时不可用 发现者 Tansique Dasari