CVE-2025-12330CVE-2025-12330是Willow CMS中存在的一个存储型跨站脚本(Stored XSS)漏洞。该漏洞影响Willow CMS 1.4.0及以下所有版本。漏洞位于管理后台的文章添加功能页面(/admin/articles/add),攻击者可以通过在文章标题(title)或正文内容(body)参数中注入恶意JavaScript代码。由于系统未对用户输入进行充分的HTML实体转义,提交的恶意代码会被永久存储在服务器端。当其他管理员或用户访问包含该恶意内容的文章页面时,注入的JavaScript代码将在其浏览器上下文中执行,可能导致会话劫持、敏感信息窃取、网页篡改等安全问题。尽管该漏洞的CVSS评分为2.4(低危级别),但由于是存储型XSS,攻击成功后影响范围较广,恶意代码会持续存在直到被手动清除。
该漏洞属于存储型XSS(Stored XSS),也称为持久性跨站脚本攻击。漏洞根源在于Willow CMS在处理用户提交的文章内容时,对title和body参数缺乏有效的输入验证和输出编码。具体来说,当管理员通过/admin/articles/add页面提交文章时,系统直接将用户输入的内容存入数据库,而未对特殊字符(如<、>、"、'等)进行HTML实体转义。随后当其他用户请求查看该文章时,服务器从数据库读取未经过滤的内容并直接返回给客户端浏览器,浏览器将其解析为HTML/JavaScript执行。攻击者可以利用此漏洞执行任意JavaScript代码,包括窃取用户Cookie、伪造用户操作、植入钓鱼页面等。由于攻击点位于管理后台,且CVSS向量中PR:H(需要高权限),攻击者需要先获取管理员账号。但一旦payload被存储,所有访问该文章的用户都会受到影响,形成二次攻击。攻击复杂度低(AC:L),但需要用户交互(UI:R)来触发漏洞。