关键信息总结 漏洞概述 漏洞名称: CVE-2025-44184 - SourceCodester Best Employee Management System v1.0 - Stored XSS 漏洞作者: Cume KURT CVE ID: CVE-2025-44184 漏洞详情 产品: Best Employee Management System 厂商: SourceCodester 版本: v1.0 易受攻击的端点: /admin/profile.php 易受攻击的参数: - website_image - fname - lname - contact - username - address 漏洞类型: 存储型跨站脚本 (XSS) 攻击向量: 本地(已认证) 影响: - 代码执行: ✅ - 信息泄露: ✅ - 钓鱼攻击: ✅ 攻击向量 认证攻击者可以将恶意JavaScript输入到管理员配置文件页面上的一个或多个易受攻击字段中。一旦保存,这些脚本将在查看该配置文件的任何用户的浏览器中执行。 负载示例 复现步骤 1. 登录到管理面板。 2. 导航到/admin/profile.php。 3. 将任意负载插入易受攻击的字段。 4. 点击“更新”。 5. 访问配置文件页面或再次访问配置文件图片以触发存储的XSS负载。 参考资料 SourceCodester上的产品页面 下载易受攻击的代码(ZIP) 发现者 Cume KURT 屏幕截图/概念验证 提供了POST请求示例和上传文件后触发存储的XSS的证据。