关键信息总结 CVE编号: CVE-2025-63446 发现者: Shuvo Ahmed Sanin (来自孟加拉国Red Team的研究员) 受影响系统: Water Management System v1.0 漏洞类型: 跨站脚本 (XSS) 影响组件 文件: 影响 代码执行: True 复现步骤 1. 访问 2. 点击注册并填写必填字段,如用户名: test, 邮箱: test@gmail.com, 密码: test 3. 使用用户 test 登录 4. 进入供应商页面 ( ) 5. 点击添加供应商 ( ) 6. 在供应商名称字段中输入XSS载荷 并填写其他字段 7. 点击提交查看XSS执行情况 影响 1. 会话劫持: 攻击者可以窃取身份验证cookie 2. 钓鱼攻击: 用户可能被骗提供敏感凭据 3. 数据盗窃: 利用XSS可导致信息泄露 4. 内容操控: 攻击者可以修改显示内容或毁坏应用程序 缓解措施 1. 输入验证: 实施严格的输入验证和转义特殊字符 2. 输出编码: 在浏览器呈现用户输入前进行编码 3. 实现CSP: 限制内联脚本的执行 参考 LinkedIn链接