漏洞关键信息 漏洞概要 CVE编号: CVE-2025-71179 产品: Academy LMS 厂商: Creativeitem 类型: 反射型跨站脚本(XSS) CWE编号: CWE-79 CVSS v3.1分数: 6.1 中危 向量: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N 状态: 已修复 发现者: Lucas Valente Lima 漏洞介绍 Academy LMS 存在反射型跨站脚本(XSS)漏洞,在 和 等端点的 和 参数中被发现。这些漏洞允许攻击者通过构造的URL在受害者浏览器中执行任意JavaScript代码。 影响 会话劫持 — 通过 窃取会话Cookie 凭证收集 — 注入虚假登录表单 钓鱼攻击 — 利用受信域名进行社会工程 内容篡改 — 修改页面内容以对受害者造成影响 披露时间线 修复措施 更新到 CodeCanyon 上 Academy LMS 的最新版本。 参考 CWE-79 CVE-2023-4119 Academy LMS—CodeCanyon Creativeitem 致谢 漏洞由 Lucas Valente Lima 发现,其参加的认证包括:OSCP、OSWP、eWPTX、CEH、CWES、CPTS。