支持本站 — 捐款将帮助我们持续运营

目标:1000 元,已筹:752

75.2%
立即捐款
一、 漏洞 CVE-2025-45805 基础信息
漏洞信息
                                        # N/A

## 概述

在 phpgurukul Doctor Appointment Management System 1.0 中,存在一个存储型 XSS 漏洞。

## 影响版本

- phpgurukul Doctor Appointment Management System 1.0

## 细节

- 漏洞允许已认证的医生用户在其姓名字段中注入任意 JavaScript 代码。
- 系统未对输入内容进行适当的过滤或转义处理,导致恶意代码被存储到数据库中。
- 当其他用户访问网站并选择该医生进行预约时,存储的恶意脚本将被执行。

## 影响

- 攻击者可借此发起跨站脚本攻击(XSS),窃取受害者用户会话信息、执行恶意操作或进行钓鱼攻击。
神龙判断

是否为 Web 类漏洞:

判断理由:

是。这个漏洞是PHPGurukul Doctor Appointment Management System 1.0中的一个服务端漏洞,允许已经认证的医生用户在其个人资料名称中注入任意JavaScript代码。这种注入的脚本在其他用户访问网站并选择该医生预约时,会在浏览器中执行,由于服务端没有进行适当的清理和验证,导致了跨站脚本(XSS)攻击的可能。
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
N/A
来源:美国国家漏洞数据库 NVD
漏洞描述信息
In phpgurukul Doctor Appointment Management System 1.0, an authenticated doctor user can inject arbitrary JavaScript code into their profile name. This payload is subsequently rendered without proper sanitization, when a user visits the website and selects the doctor to book an appointment.
来源:美国国家漏洞数据库 NVD
CVSS信息
N/A
来源:美国国家漏洞数据库 NVD
漏洞类别
N/A
来源:美国国家漏洞数据库 NVD
漏洞标题
PHPGurukul Doctor Appointment Management System 安全漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
PHPGurukul Doctor Appointment Management System是PHPGurukul公司的一个医生预约管理系统。 PHPGurukul Doctor Appointment Management System 1.0版本存在安全漏洞,该漏洞源于清理不足,可能导致存储型跨站脚本攻击。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
其他
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2025-45805 的公开POC
#POC 描述源链接神龙链接
1Poc Of CVE-2025-45805https://github.com/mhsinj/CVE-2025-45805POC详情
2PoC of CVE-2025-45805https://github.com/mohammed-alsaqqaf/CVE-2025-45805POC详情
三、漏洞 CVE-2025-45805 的情报信息
  • https://phpgurukul.com/doctor-appointment-management-system-using-php-and-mysql
  • https://github.com/mohammed-alsaqqaf/CVE-2025-45805

  • 标题: GitHub - mhsinj/CVE-2025-45805: Poc Of CVE-2025-45805 -- 🔗来源链接

    标签:

    神龙速读:
                                            ### 关键信息

- **CVE编号**: CVE-2025-45805
- **受影响产品**: Doctor Appointment Management System
- **厂商**: phpgurukul
- **版本**: 1.0
- **漏洞类型**: 存储型跨站脚本(XSS)
- **描述**: 
  - 认证的医生用户可以将任意JavaScript代码注入到医生个人资料字段(姓名/员工ID)中。
  - 当患者选择该医生预约时,恶意payload会被渲染且未经过滤,导致在受害者的浏览器中执行任意脚本。
  - 可能导致账户接管、会话劫持或Cookie窃取。
- **影响**: 高严重性(账户接管、会话劫持)
- **攻击向量**: 远程(存储型XSS)
- **发现者**: Mohammed Hayaf Al-Saqqaf (BULLETMHS) & Ayman Al-Hakimi
    GitHub - mhsinj/CVE-2025-45805: Poc Of CVE-2025-45805
  • https://nvd.nist.gov/vuln/detail/CVE-2025-45805
四、漏洞 CVE-2025-45805 的评论

暂无评论

发表评论