关键信息 漏洞概述 漏洞类型: 反射型XSS (Reflected XSS) 受影响版本: < 7.0.3 修复版本: 7.0.3 CVE ID: CVE-2025-30149 CVSS v3 基本指标: - 攻击向量: 网络 - 攻击复杂度: 高 - 所需权限: 低 - 用户交互: 必须 - 范围: 不变 - 机密性影响: 高 - 完整性影响: 高 - 可用性影响: 无 漏洞详情 描述: 在AJAX脚本接口 中存在反射型XSS漏洞,由于对 参数的过滤不当,导致触发XSS漏洞。 源代码链接: https://github.com/openemr/openemr/blob/master/interface/super/layout_listitems_ajax.php#L26 注入点链接: https://github.com/openemr/openemr/blob/master/interface/super/layout_listitems_ajax.php#L32 PoC (概念验证) 影响 XSS漏洞允许攻击者在用户的浏览器中执行恶意脚本,可能导致未经授权访问敏感数据、会话劫持或恶意软件分发。 建议 建议添加代码逻辑检查 头,以确保JSON信息被正确解析。