关键信息 漏洞类型 反射型跨站脚本(XSS) 漏洞位置 应用程序:i-Educar 终端点: 参数: 和 漏洞详情 该应用程序未能验证和清理用户在 和 参数中的输入。 缺乏验证允许注入恶意脚本,这些脚本被反射回用户的浏览器并在受害者的浏览器会话中执行。 PoC (概念验证) Payload: 示例攻击URL: - - 影响 用户行为:攻击者可以执行用户可以执行的任何操作。 数据窃取:攻击者可以窃取数据或在用户的机器上安装恶意软件。 账户妥协:攻击者可以操纵或窃取cookie,或泄露机密信息。 恶意代码:攻击者可以在用户的系统上执行恶意代码。 商业声誉损害:攻击者可以破坏公司网站或传播错误信息。 误导:攻击者可以改变给用户的信息,这可能是危险的,特别是如果目标是政府网站或提供重要资源。 参考资料 CVE-2025-8368 VulnDB-318340 i-Educar – Official Repository 发现者 Marcelo Queiroz by CVE-Hunters