CVE-2025-12230 CVSS 2.4 低危

CVE-2025-12230: projectworlds Expense Management System 1.0 跨站脚本漏洞

披露日期: 2025-10-27

来源: [email protected]

漏洞信息

漏洞编号

CVE-2025-12230

漏洞类型

XSS（跨站脚本攻击）

CVSS评分

2.4 低危

攻击向量

网络 (AV:N)

认证要求

高权限 (PR:H)

用户交互

需要交互 (UI:R)

影响产品

projectworlds Expense Management System 1.0

漏洞概述

projectworlds Expense Management System 1.0存在跨站脚本（XSS）漏洞，攻击者可以通过在Currency Page的创建功能中注入恶意脚本来窃取用户会话、劫持账户或进行钓鱼攻击。该漏洞位于/public/admin/currencies/create路径，由于未对用户输入进行充分过滤和转义，导致恶意JavaScript代码可在受害者浏览器中执行。鉴于系统需要高权限认证才能利用此漏洞，攻击复杂度较低但仍需用户交互。CVSS评分为2.4，属于低危级别。

技术细节

该漏洞属于存储型XSS，攻击者以管理员身份在货币创建页面（/public/admin/currencies/create）的名称或符号字段中注入恶意JavaScript代码。由于应用未对输入进行HTML转义，该代码会被永久存储在数据库中。当其他管理员访问货币列表或相关管理页面时，恶意代码会在其浏览器上下文中执行，可能窃取会话cookie、伪造操作或进行其他恶意行为。防御措施包括对所有用户输入进行严格的HTML转义、实施内容安全策略（CSP）以及限制管理员输入的特殊字符范围。

攻击链分析

STEP 1

步骤1

攻击者以管理员身份登录系统

STEP 2

步骤2

访问/public/admin/currencies/create页面

STEP 3

步骤3

在货币名称或符号字段中注入恶意JavaScript代码

STEP 4

步骤4

提交表单，恶意代码被存储在数据库中

STEP 5

步骤5

其他管理员访问货币列表页面时，恶意代码在其浏览器中执行

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

curl -X POST 'http://target.com/public/admin/currencies/create' -d 'name=<script>alert(document.cookie)</script>&symbol=<script>alert('XSS')</script>'

影响范围

projectworlds Expense Management System 1.0

防御指南

临时缓解措施

临时缓解措施：禁用受影响页面的JavaScript执行，限制管理员权限，监控异常访问日志。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2025-12230
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2025-12230
3 Details https://www.cvedetails.com/cve/CVE-2025-12230/
4 VulDB https://vuldb.com/cve/CVE-2025-12230
5 Link https://github.com/QIU-DIE/CVE/issues/11
6 Link https://vuldb.com/?ctiid.329900
7 Link https://vuldb.com/?id.329900
8 Link https://vuldb.com/?submit.673707
9 Link https://github.com/QIU-DIE/CVE/issues/11

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表