关键信息 漏洞类型:存储型跨站脚本(XSS) 受影响产品:PHPGurukul Online Course Registration v3.1 漏洞描述: - 在学生注册照片上传功能中,应用未能正确验证上传的文件类型,也无法对文件内容进行适当清理。 - 此缺陷使攻击者能够上传包含JavaScript代码的恶意SVG或HTML文件,这些文件在管理员查看或编辑学生资料时会被执行,导致在管理员的浏览器环境中执行嵌入的JavaScript。 潜在影响: - XSS攻击可能盗取会话cookie,代表受害者执行操作,或将用户重定向至钓鱼页面。 - 如果攻击者上传的文件包含在某学生资料中,且被管理员查看,攻击者可能劫持管理员会话,并以管理员权限执行未经授权的操作。 相关参考: - 提及CVE-2020-23828曾描述过类似问题,但此处的漏洞影响v3.1版本,并通过恶意SVG或HTML上传导致存储型XSS,是独立的漏洞。 提交信息: - 提交时间:2026-01-01 01:18 PM - 审核时间:2026-01-01 02:22 PM - 状态:Accepted - 源链接:https://github.com/rsecrooit/Online-Course-Registration/blob/main/Cross%20Site%20Scripting.md - 提交者:hackerfactory(UID 85869) VulDB条目: - #339355 [PHPGurukul Online Course Registration v3.1 学生注册页面编辑student-profile.php照片不受限制的上传]