关键漏洞信息 漏洞类型: DOM-based Cross-Site Scripting (XSS) 受影响的包: 受影响版本: 1.0 修复版本: 无 严重性: 中等 (5.4 / 10) CVE ID: CVE-2025-70458 漏洞描述 摘要: - 由于在客户端JavaScript中不安全地处理用户输入, v1.0中存在DOM-based Cross-Site Scripting (XSS)漏洞。 - 在 文件中的 函数中,使用 将用户控制的输入( )直接嵌入DOM中,未进行编码或清理。 - 由于整个过程发生在客户端,恶意的有效负载将在浏览器上下文中执行。 影响: - 成功利用此漏洞允许攻击者在受害者的浏览器中执行任意JavaScript代码,可能导致: - 会话cookie或身份验证令牌的窃取 - 如果存在经过身份验证的会话,可能会导致账户接管 - 未经授权的受害者行动 - 钓鱼攻击和客户端返回 证明概念 1. 在域名输入字段中输入以下内容: 2. 后端处理此字符串(它可能通过WHOIS检查,但返回在结果数组中)。应用程序使用 将用户控制的数据( )插入页面,未进行清理。 3. 执行 中的代码: 4. 恶意脚本在受害者的浏览器上下文中执行。 弱点 CWE-79 参考 NVD漏洞详情 CVE记录 原始GHSA报告 Sourcecodester项目源码