关键漏洞信息 漏洞类型 Stored XSS (存储型跨站脚本攻击) 影响版本 受影响版本: < 3.2.0 修复版本: 3.2.8 漏洞描述 摘要: 在WeGIA应用程序中发现了一个存储型XSS漏洞。此漏洞允许在用户浏览器上下文中执行未经授权的脚本。存储型XSS特别关键,因为恶意代码永久存储在服务器上,并在加载受感染页面时执行,影响访问该页面的所有用户。 漏洞细节 易受攻击的URL: 易受攻击的参数: PoC (概念验证) 注入payload: 效果: 输入保存后,注入的脚本将存储在服务器上,并在任何用户访问 时自动执行,确认存储型XSS的存在。 影响 攻击者可以: - 注入并存储恶意JavaScript代码在服务器上,该代码将在访问受影响页面的所有用户中执行。 - 窃取敏感用户信息(例如,会话cookie、身份验证令牌)。 - 将用户重定向到恶意站点。 - 操纵应用程序界面,启用钓鱼攻击和其他社会工程学技术。 - 妥协应用程序的完整性,对用户体验和安全性造成潜在严重影响。 严重性 CVSS v4 base metrics: - Exploitability Metrics: - Attack Vector: Network - Attack Complexity: Low - Attack Requirements: None - Privileges Required: None - User Interaction: Active - Vulnerable System Impact Metrics: - Confidentiality: Low - Integrity: Low - Availability: None - Subsequent System Impact Metrics: - Confidentiality: High - Integrity: High - Availability: High CVE ID: CVE-2025-30362 Weaknesses: CWE-79