关键信息 漏洞概述 CVE编号: CVE-2025-50574 漏洞类型: 跨站脚本(XSS) 攻击向量: 存储型跨站脚本(XSS) 受影响组件: blog-details.php 影响行数: 第65行 严重性: 高 影响: 攻击者可以在受害者的浏览器中执行恶意JavaScript 细节 使用了 工具进行安全测试,发现了存储型跨站脚本(XSS)漏洞。 漏洞位于 文件的第65行,未对HTTP参数输入进行适当转义或清理。 证明概念(PoC) 在网站论坛的博客评论部分提交包含恶意JavaScript的评论。 刷新页面后,注入的代码会在浏览器中执行,并显示带有“hacked”消息的警告弹窗。 影响 攻击者可以冒充受害者用户、执行任意操作、读取数据、捕获登录凭据、进行虚拟破坏和注入特洛伊木马功能。 缓解措施 实施输入清理,使用PHP的 函数编码特殊字符为HTML实体,防止浏览器将其解释为可执行代码。 时间线 3月10日: 发现漏洞 3月14日: 在GitHub仓库上打开问题 9月15日: 向供应商电子邮件披露漏洞 - 无响应 3月20日: 提交联系表单到供应商个人网站 - 无响应 4月10日: 发布官方写入说明 4月12日: 编辑GitHub问题以包括写入链接 8月12日: 分配CVE编号为CVE-2025-50574 待定: 等待补丁发布和供应商响应 联系信息 作者: Hiruna Galpage GitHub: https://github.com/hirunofficial/salon-management-system 联系人: Kyle Nguyen, sykephuyen16@gmail.com