关键漏洞信息 概述 漏洞类型: 反射型跨站脚本攻击 (Reflected XSS) CVE编号: CVE-2025-63543, CVE-2025-63544 受影响产品: TechStore 1.0 漏洞详情 1. CVE-2025-63543 - 类型: 反射型跨站脚本攻击 (CWE-79) - 向量: 参数在 端点 - 描述: 用户提供的输入从 参数直接返回页面,未进行输出编码,导致可注入 JavaScript。 - 概念验证URL: 2. CVE-2025-63544 - 类型: 反射型跨站脚本攻击 (CWE-79) - 向量: 参数在 端点 - 描述: 参数在响应中未安全地注入,允许在受害者浏览器中执行 JavaScript。 - 概念验证URL: 影响 攻击者可以构建导致任意脚本执行的 URL,可能允许会话劫持或未授权操作。 成功利用可导致在用户浏览器中执行攻击者控制的 JavaScript。 推荐缓解措施 1. 在 HTML 渲染之前对用户提供的值应用适当的输出编码。 2. 验证和清理输入参数。 3. 考虑启用内容安全策略(CSP)。 参考资料 1. CWE-79: https://cwe.mitre.org/data/definitions/79.html 2. OWASP XSS 指南: https://portswigger.net/web-security/cross-site-scripting ```