关键漏洞信息 漏洞概述 CVE ID: CVE-2025-44180 受影响版本: PHPGurukul Vehicle Record Management System V1.0 漏洞文件: edit-brand.php 参数: brandname 漏洞详情 类型: 存储型跨站脚本(XSS) 原因: 缺乏对用户输入数据的充分验证和清理,导致攻击者可以注入恶意脚本。 利用方法 (PoC) 1. 进入管理员配置文件页面并点击“Brand”->“Manage Brand”按钮以更新。 2. 点击“Edit”以修改任何数据。 3. 使用Burp Suite拦截到edit-brand.php的POST请求。 4. 将payload注入到易受攻击的参数中。 - Payload: 5. 示例请求: 影响 攻击者可以通过注入恶意脚本在受影响用户的浏览器中执行任意脚本代码,可能危及安全性和隐私。