从这个网页截图中可以获取到以下关于漏洞的关键信息: 漏洞概述 类型: 存储型跨站脚本(XSS)漏洞 受影响的端点: 参数: , , 漏洞详情 问题描述: 应用程序未能正确验证和清理用户输入,导致攻击者可以在多个参数中注入恶意脚本。这些脚本存储在服务器上,并在受影响页面被访问时自动执行。 PoC (概念验证): - Payload: - 步骤: 1. 在 参数中插入payload。 2. 保存数据。 3. 访问“Histórico”选项。 影响 窃取会话Cookie: 攻击者可以利用窃取的会话Cookie劫持用户的会话并代表用户执行操作。 下载恶意软件: 攻击者可以诱骗用户下载和安装恶意软件。 浏览器劫持: 攻击者可以劫持用户的浏览器或提供基于浏览器的漏洞利用。 窃取凭证: 攻击者可以窃取用户的凭证。 获取敏感信息: 攻击者可以获得存储在用户账户或浏览器中的敏感信息。 网站涂鸦: 攻击者可以通过更改内容来涂鸦网站。 误导用户: 攻击者可以改变目标网站给用户的指示,误导他们的行为。 损害企业声誉: 攻击者可以通过涂鸦企业网站来损害企业的形象或传播错误信息。 参考资料 CVE-2025-9104 VulnDB-320426 i-diario – Official Repository 发现者 Marcelo Queiroz CVE-Hunters