关键信息 漏洞详情 CVE编号: CVE-2025-51503 漏洞类型: 存储型跨站脚本(Stored XSS) 受影响版本: 最新测试版本在本地运行的MicroWebber 受影响页面: /microwebber/admin/user/profile 漏洞描述 MicroWebber的用户资料更新功能没有正确地对 和 字段中的用户输入进行验证或编码。当恶意脚本保存在这些字段中并重新加载页面时,脚本会在用户的上下文中执行。 复现步骤 1. 导航到用户资料编辑页面: 2. 在用户资料中使用以下payload: - : - : 3. 保存更改。 4. 刷新资料页面。 5. 观察XSS被触发 - 将显示警告。 Payload示例 HTTP请求示例 相关CWE CWE-79: 不当的输入中立化在网页生成期间(跨站脚本) 漏洞影响 持久性JavaScript执行 管理面板妥协 如果未强制执行HTTPOnly,则会话劫持 重定向或钓鱼攻击 可能存在基于DOM的payload与缓存 推荐修复措施 使用Laravel的 函数或Blade的双大括号 自动转义敏感和可渲染输入( , , 等)在任何页面上呈现之前。 添加服务器端验证规则以拒绝包含脚本标签或JS模式的输入。 在所有模板中应用输出编码,反映用户数据。 时间线 2025-05-28: 发现漏洞 2025-05-30: 报告给MicroWebber维护者