关键信息 漏洞详情 CVE编号: CVE-2025-64070 发现者: Hasi Akter Vabna (Security Researcher) 发现者LinkedIn: https://www.linkedin.com/in/vabna-lina-24ab17186/ 漏洞描述 受影响组件: SourceCoderestr Student Grades Management System v1.0 中的 classroom.php 文件(添加课堂描述字段)存在存储型 XSS 漏洞。 证明概念 (PoC) PoC代码: 复现步骤 1. 以认证管理员账号登录到测试实例。 2. 转到“管理员,管理主题,添加新主题”(URL: http://localhost/student-grades-management-system/admin.php)。 3. 填写表单并包含所需的恶意负载。 4. 在描述字段中,输入转义后的负载: 或 。 5. 点击“添加主题”。 6. 导航到“所有主题”表,观察到注入的 XSS 负载在网站上被反映出来。 PoC视频 PoC 视频链接: https://drive.google.com/file/d/1UoE-97IqmwukNCIEAeumEL0nAd1T2spe/view?usp=drive_link 影响 会话劫持 凭证窃取 数据暴露 未经授权的行为 缓解措施 上下文编码 验证和清理输入数据 安全设置cookie 参考 发现者LinkedIn: https://www.linkedin.com/in/vabna-lina-24ab17186/