CVE-2025-12279CVE-2025-12279是code-projects Client Details System 1.0版本中的一个存储型跨站脚本(XSS)漏洞。该漏洞存在于/welcome.php文件中,由于应用程序对用户输入没有进行充分的过滤和转义处理,攻击者可以通过在输入字段中注入恶意的JavaScript代码来实现跨站脚本攻击。当其他用户访问包含恶意脚本的页面时,这些脚本将在其浏览器上下文中执行,可能导致会话劫持、敏感信息窃取、钓鱼攻击等安全问题。由于该漏洞的CVSS评分为2.4,属于低危漏洞,主要因为其需要高权限用户身份(PR:H)和用户交互(UI:R)才能成功利用。虽然攻击复杂度较低(AC:L),但对机密性和完整性的影响均为低级别,对可用性无影响。漏洞已于2025年10月27日公开披露, exploit已公开且可能被恶意利用。建议受影响用户及时采取防御措施和修复方案。
该漏洞属于存储型XSS(Stored XSS)漏洞,攻击者将恶意脚本永久存储在目标服务器上。漏洞位于Client Details System 1.0的/welcome.php文件,该文件负责处理和显示用户提交的数据。在数据处理过程中,应用程序没有对用户输入进行HTML实体编码或输入验证,导致攻击者可以注入JavaScript代码。攻击者需要具有高权限(如管理员或高级用户权限)才能提交恶意载荷,且需要诱导其他用户访问受污染的页面才能触发攻击。攻击成功后,恶意脚本会在受害者的浏览器中执行,可以窃取Cookie、Session令牌或其他敏感信息。CVSS向量显示该漏洞需要网络访问(AV:N),攻击复杂度低(AC:L),但需要高权限(PR:H)和用户交互(UI:R),这限制了漏洞的实际危害范围。防御重点应放在输入验证、输出编码和使用内容安全策略(CSP)等方面。