关键信息 漏洞概述 CVE编号: CVE-2025-9652 漏洞类型: 存储型跨站脚本(Stored XSS) 受影响系统: i-Educar 系统中的 页面 技术细节 易受攻击的端点: 受影响参数: 和 触发页面: 其他受影响端点: 有效载荷示例 影响 盗取会话cookie(会话劫持) 注入恶意代码或病毒 在浏览器中安装恶意软件 将用户重定向到恶意网站 破坏应用程序界面 损害机构声誉 官方来源 CVE-2025-9652 on CVE.org VulDB Entry 结论 即使看似无害的字段如公司名称也可能成为存储型XSS攻击的载体。当这些字段在管理面板中显示且未进行适当的输出编码时,它们构成真实威胁。确保对每个表单进行输入验证——无论字段多么微不足道——对于保持Web应用程序的安全至关重要。 发现者 Karina Gante