漏洞关键信息总结 漏洞概述 漏洞名称: Stored XSS in PersonView.php via Facebook Field Attribute Injection (通过Facebook字段属性注入在PersonView.php中的存储型XSS) 漏洞类型: 存储型跨站脚本攻击 (Stored XSS) 漏洞原因: 在 中, 函数被错误地用作HTML属性上下文的输出清理器。该函数仅剥离HTML标签,未转义引号字符,导致攻击者可以跳出 属性并注入任意JavaScript事件处理器。 影响范围 受影响版本: ChurchCRM/CRM <= 7.0.5 修复版本: 7.1.0 CVSS评分: 7.6 / 10 (High) 利用条件: 任何拥有 角色的认证员工(通常是教堂办公室工作人员)均可利用。 修复方案 建议将 替换为 和 以进行属性安全转义。 修复代码示例: PoC (概念验证代码) 1. 存储载荷 (Step 1 Store the payload): 在Facebook字段中输入以下代码: 2. 触发XSS (Step 2 — Trigger the XSS): 导航到该人的个人资料页面,悬停在Facebook链接上即可触发。 3. 注入后的HTML结构 (Step 3 — Confirm injection in DevTools):**