关键信息 漏洞标题 PHPGurukul Bus Pass Management System None Stored Cross-Site Scripting (XSS) 描述 在PHPGurukul Bus Pass Management System 1.0版本中发现了一个存储型跨站脚本(XSS)漏洞。该漏洞存在于管理配置文件页面,具体位于/admin/admin-profile.php。具有管理员权限的攻击者可以将恶意脚本注入到输入字段(如姓名、联系详情或其他可编辑的配置文件字段),这些脚本将永久存储在应用程序的数据库中,并在任何用户访问/admin/admin-profile.php页面时执行。 复现步骤 1. 访问站点。 2. 转到配置文件页面。 3. 编辑配置文件名称并插入XSS有效载荷。 4. 触发有效载荷后,当点击站点上的任何地方时都会触发警报。 影响 存储型XSS漏洞可能导致以下风险: - 管理员账户接管:攻击者可以注入窃取其他管理员会话cookie的脚本。 - 网站篡改:更改管理员配置文件页面或其他应用程序部分的外观或内容。 - 恶意软件分发:将用户重定向到恶意网站或强制下载驱动程序。 - 权限提升:以受害管理员的身份执行未经授权的操作。 - 数据泄露:窃取受影响页面上显示的敏感信息。 来源 http://localhost/buspassmg/admin/admin-profile.php 提交者 Anzil (UID:87131) 提交日期 2025年6月1日 01:46 PM 审核日期 2025年6月19日 09:26 AM 状态 已接受 VulDB条目 PHPGurukul Bus Pass Management System 1.0 Profile Page (/admin/admin-profile.php profile name cross site scripting)