关键漏洞信息 漏洞类型 Stored XSS (存储型跨站脚本攻击) 影响版本 受影响版本: < 3.2.0 修复版本: 3.2.6 漏洞描述 在WeGIA应用中发现了一个存储型XSS漏洞,允许未经授权的脚本在用户的浏览器上下文中执行。恶意代码被永久存储在服务器上,并在加载受感染页面时执行,影响所有访问该页面的用户。 漏洞细节 URL: html/geral/documentos_funcionario.php 易受攻击参数: dados_addInfo PoC (概念验证) 文件: documentos_funcionario.php Payload: 触发点: funcionario/profile_funcionario.php?id_funcionario=1 端点: dados_addInfo 影响 利用这些漏洞,攻击者可以注入和存储恶意JavaScript代码在服务器上,该代码将为所有访问受影响页面的用户执行。恶意代码可以: - 窃取敏感用户信息(如会话cookie、身份验证令牌) - 将用户重定向到恶意站点 - 操纵应用程序的界面,进行网络钓鱼攻击和其他社会工程学技术 - 妥协应用程序的完整性,对用户体验和安全性造成潜在严重影响 CVSS评分 严重性: 中等 (6.4/10) CVSS v4基础指标 - 攻击向量: 网络 - 攻击复杂度: 低 - 攻击需求: 无 - 所需权限: 无 - 用户交互: 主动 - 机密性影响: 低 - 完整性影响: 低 - 可用性影响: 无 - 后续系统影响指标: - 机密性: 高 - 完整性: 高 - 可用性: 高 CVE ID CVE-2025-30363 弱点 CWE-79