关键信息 漏洞编号 CVE-2025-10584 漏洞类型 跨站脚本(XSS) 影响系统 i-Educar 系统的 文件 漏洞描述 在分析日历注册功能时,发现两个存储型XSS漏洞。 和 参数未对用户输入进行适当验证,导致恶意脚本被存储并在访问 页面时自动执行。 技术细节 易受攻击的端点: 受影响参数: 和 触发页面: 利用方法 访问易受攻击的端点并点击“New Calendar in List”。 在新页面上,点击“New Annotation”。 在“Nome”和“Descrição”字段中插入payload。 点击“Save”。 影响 该XSS漏洞可被利用来: - 盗取会话cookie以劫持用户会话。 - 安装键盘记录器。 - 窃取浏览器中存储的凭据。 - 将用户重定向到恶意网站。 - 破坏应用程序界面。 - 损害品牌声誉。 结论 即使是看似无害的字段,如公司内部注释,也可能成为存储型XSS的载体。 在管理面板中显示时,如果没有适当的验证和输出编码,它们会构成新的威胁。 确保每个表单都进行输入验证——无论字段多么微不足道——对于保持Web应用程序的安全至关重要。