关键信息 漏洞概述 CVE编号: CVE-2025-8920 漏洞类型: 跨站脚本(XSS)存储型 受影响参数: Planos de ensino 输入字段 受影响端点: /dicionario-de-termos-bncc 漏洞详情 应用程序未能正确验证和清理用户输入,导致在访问“Planos de ensino por disciplina”和“Planos de ensino por áreas do conhecimento”页面时触发存储型XSS漏洞。 证明概念 (PoC) 在“Planos de ensino”字段中插入payload: 用户访问相关页面时触发payload。 影响 窃取会话Cookie: 攻击者可以利用窃取的会话Cookie劫持用户会话并代表用户执行操作。 下载恶意软件: 攻击者可以诱骗用户下载和安装恶意软件。 浏览器劫持: 攻击者可以劫持用户的浏览器或交付基于浏览器的漏洞利用程序。 窃取凭证: 攻击者可以窃取用户的凭证。 获取敏感信息: 攻击者可以获得存储在用户账户或浏览器中的敏感信息。 篡改网站: 攻击者可以通过更改内容来篡改网站。 误导用户: 攻击者可以更改目标网站访问者的指令,误导他们的行为。 损害企业声誉: 攻击者可以通过篡改企业网站来损害企业的形象或传播错误信息。 发现者 发现者: Fernanda Martins (创始人) 协调员: Natan Morette 团队: CVE-Hunters