CVE-2025-12231 CVSS 2.4 低危

CVE-2025-12231: projectworlds Expense Management System 1.0 费用类别页面存储型XSS漏洞

披露日期: 2025-10-27

来源: [email protected]

漏洞信息

漏洞编号

CVE-2025-12231

漏洞类型

跨站脚本攻击(XSS)

CVSS评分

2.4 低危

攻击向量

网络 (AV:N)

认证要求

高权限 (PR:H)

用户交互

需要交互 (UI:R)

影响产品

projectworlds Expense Management System 1.0

漏洞概述

projectworlds Expense Management System 1.0版本中存在存储型跨站脚本(XSS)漏洞，该漏洞位于管理员后台的费用类别创建功能页面(/public/admin/expense_categories/create)中。攻击者通过在创建费用类别时注入恶意脚本来利用此漏洞。成功利用此漏洞可导致窃取用户会话cookie、劫持用户账户、进行钓鱼攻击或传播恶意软件。由于需要管理员权限才能利用此漏洞，且需要用户交互才能触发，因此CVSS评分为2.4，属于低危级别。

技术细节

该存储型XSS漏洞源于费用类别创建页面未对用户输入进行充分的输入验证和输出编码。攻击者可在创建新的费用类别时，在类别名称或其他输入字段中注入恶意JavaScript代码。由于输入验证不足，恶意脚本会被直接存储到数据库中。当其他管理员或用户访问费用类别列表页面时，这些存储的恶意脚本会被浏览器解析执行，从而实现XSS攻击。漏洞利用需要攻击者具有管理员权限，并诱导其他用户访问受影响的页面。

攻击链分析

STEP 1

攻击者以管理员身份登录系统

STEP 2

访问费用类别创建页面(/public/admin/expense_categories/create)

STEP 3

在类别名称字段注入恶意脚本<script>alert(document.cookie)</script>

STEP 4

提交表单，恶意脚本被存储到数据库

STEP 5

其他管理员或用户访问费用类别列表页面

STEP 6

浏览器解析页面时执行存储的恶意脚本

STEP 7

攻击者获取用户会话cookie或执行其他恶意操作

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

POST /public/admin/expense_categories/create HTTP/1.1
Host: target.com
Content-Type: application/x-www-form-urlencoded

category_name=<script>alert(document.cookie)</script>&description=test&submit=Create

影响范围

projectworlds Expense Management System 1.0

防御指南

临时缓解措施

临时缓解措施：1)限制管理员账户的使用，避免共享账户；2)对管理员进行安全意识培训；3)使用Web应用防火墙(WAF)检测和阻止XSS攻击；4)监控异常的管理员操作日志；5)考虑暂时禁用费用类别创建功能，直到完成修复。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2025-12231
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2025-12231
3 Details https://www.cvedetails.com/cve/CVE-2025-12231/
4 VulDB https://vuldb.com/cve/CVE-2025-12231
5 Link https://github.com/QIU-DIE/CVE/issues/12
6 Link https://vuldb.com/?ctiid.329901
7 Link https://vuldb.com/?id.329901
8 Link https://vuldb.com/?submit.673708
9 Link https://github.com/QIU-DIE/CVE/issues/12

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表