关键信息 漏洞类型 Stored Cross-Site Scripting (XSS) 漏洞端点 参数 漏洞描述 该漏洞允许攻击者通过 和 参数注入恶意脚本。这些脚本存储在服务器上,并在受影响页面被用户访问时自动执行,构成严重的安全风险。 PoC (概念验证) Encoded Payload: Decoded Payload: 影响 窃取会话cookie: 攻击者可以劫持用户会话并代表他们执行操作。 分发恶意软件: 用户可能被诱骗下载和执行恶意软件。 浏览器劫持: 通过JavaScript执行获得对用户浏览器的完全控制。 凭证盗窃: 获取用户名、密码和其他敏感信息。 暴露敏感数据: 访问应用程序或浏览器中存储的数据。 网站篡改: 更改用户查看的网页内容。 用户重定向: 将受害者重定向到钓鱼或恶意网站。 损害业务声誉: 如果用户受到源自应用程序的攻击,将失去信任。 参考资料 CVE-2025-8508 VulnDB-318607 T-Educar - Official Repository 发现者 Marcelo Quininoz CVE-Hunters