CVE-2025-12332CVE-2025-12332是SourceCodester学生成绩管理系统1.0版本中的一个存储型跨站脚本(Stored XSS)漏洞。该漏洞存在于管理后台的/admin.php文件中的delete_user函数。由于系统对用户输入缺乏充分的输入验证和输出编码,攻击者可以在用户管理功能中注入恶意JavaScript代码。当其他管理员访问用户列表或执行删除操作时,恶意脚本将在受害者浏览器中执行,可能导致会话劫持、敏感信息窃取或管理员账户被恶意控制。该漏洞的CVSS评分为2.4,属于低危级别,但仍需引起重视,因为攻击者只需拥有高权限的管理员账户即可利用此漏洞,且攻击可远程进行。虽然CVSS评分较低,但存储型XSS漏洞的持久性和危害性不容忽视,攻击者注入的恶意代码会永久存储在服务器端,影响所有访问相关页面的用户。系统管理员应及时采取修复措施,避免攻击者利用该漏洞对系统安全造成更大威胁。
该漏洞属于存储型XSS(Stored Cross-Site Scripting)漏洞,存在于SourceCodester学生成绩管理系统的/admin.php文件delete_user函数中。漏洞产生的根本原因是系统对用户输入数据(如用户名、用户描述等)未进行充分的输入验证和输出编码。在用户管理功能中,当管理员添加或编辑用户信息时,如果输入包含恶意JavaScript代码(如<script>alert(document.cookie)</script>),这些数据会被直接存储到数据库中而未经过滤。随后,当其他管理员访问用户列表页面或执行删除操作时,这些恶意代码会随页面内容一同返回到用户浏览器中并被执行。攻击者利用此漏洞可以窃取管理员的会话Cookie,从而劫持管理员会话,获取系统管理权限。由于该漏洞需要高权限账户(PR:H)才能利用,且需要用户交互(UI:R),但攻击者一旦成功注入恶意代码,所有访问相关页面的用户都会受到影响。攻击者可以通过JavaScript代码执行任意客户端操作,包括但不限于:窃取敏感信息、篡改页面内容、植入后门程序或进行进一步的内网渗透攻击。建议开发者在所有用户输入点实施严格的输入验证,并对所有输出到HTML的内容进行适当的编码或转义处理。