关键漏洞信息 漏洞概述 CVE编号: CVE-2025-63640 发现者: Ivan Cese 影响产品: Medicine Reminder App v1.0 供应商: Sourcecodester 漏洞类型: 跨站脚本(XSS) 描述 Sourcecodester的Medicine Reminder App v1.0在创建“即将来临的提醒”时的“药品名称”和“备注(可选)”字段中存在跨站脚本(XSS)漏洞。攻击者可以注入任意可能恶意的HTML/JavaScript代码,当用户点击“保存提醒”按钮时执行。 攻击向量 攻击者可以注入一个负载,当提醒被查看或保存时在其他用户的浏览器中执行,可能导致会话劫持或任意恶意操作。 攻击类型 类型: 远程 影响代码执行: 真 影响权限提升: 真 影响信息泄露: 真 重要提示 复现步骤: 1. 在“药品名称”和“备注(可选)”输入框中插入可能存在恶意的HTML/JavaScript负载。 2. 点击“保存提醒”按钮并观察潜在恶意负载的执行。 注意 影响: 1. 使得Cookie或会话令牌被窃取,允许攻击者冒充用户并提升权限; 2. 通过恶意注入有助于页面内钓鱼、凭证收集或恶意软件分发; 3. 允许敏感用户数据的泄露或操作,损害应用的信任度和完整性。 建议 缓解措施: 1. 输入验证与清理 – 在渲染前严格验证并处理所有用户提供的数据; 2. 内容安全策略(CSP) – 实施严格的CSP以限制脚本源并预防内联脚本执行; 3. 输出编码 – 根据环境(HTML、JavaScript、URL等)正确编码数据; 4. 使用安全框架/库 – 利用自动处理转义和预防XSS的框架; 5. HttpOnly Cookie – 标记会话Cookie为HttpOnly以阻止客户端脚本访问。 注释 #参考: Medicine Reminder App 使用HTML-CSS和JavaScript的源代码、 Web 安全跨站脚本