CVE-2025-12298CVE-2025-12298是code-projects团队开发的Simple Food Ordering System 1.0版本中存在的跨站脚本(XSS)安全漏洞。该漏洞位于/editcategory.php文件中的pname参数,攻击者可以通过构造恶意脚本代码注入到应用程序中。当其他用户访问包含恶意代码的页面时,浏览器会执行这些脚本,从而可能导致会话劫持、敏感信息窃取、钓鱼攻击等安全问题。由于该漏洞可通过网络远程利用,且当前已有公开的漏洞利用代码,构成了中等严重程度的安全风险。建议相关用户及时采取修复措施,避免遭受潜在的网络攻击。
该漏洞属于存储型XSS(Stored XSS)或反射型XSS漏洞,具体取决于应用程序对用户输入的处理方式。攻击者通过/editcategory.php页面中的pname参数(产品类别名称)注入恶意JavaScript代码。由于应用程序缺乏对用户输入的有效过滤和输出编码,恶意代码会被直接存储在数据库中或反映在响应页面中。当管理员或其他用户访问相关页面时,浏览器会将其解析为可执行脚本并执行。攻击者可利用此漏洞窃取用户会话Cookie、劫持用户账号、进行钓鱼欺诈或植入恶意软件。攻击过程简单,无需高权限,只需诱骗用户访问恶意链接或触发相关功能即可。