CVE-2025-13450CVE-2025-13450是SourceCodester Online Shop Project 1.0中的一个存储型跨站脚本(Stored XSS)漏洞。该漏洞存在于注册页面(/shop/register.php)中,具体受影响的是f_name参数。攻击者可以通过在注册表单的姓名字段中注入恶意JavaScript代码,当其他用户访问包含该数据的页面时,恶意脚本将在受害者浏览器中执行,从而窃取用户会话Cookie、劫持用户账户或进行其他恶意操作。由于该漏洞需要用户交互才能触发,CVSS评分相对较低(3.5分),但仍可能对应用程序的安全性造成威胁。攻击者可以利用此漏洞进行钓鱼攻击,诱导用户泄露敏感信息,或者在用户不知情的情况下执行未经授权的操作。该漏洞已在互联网上公开披露,潜在攻击者可能已经知晓并利用此漏洞。
该漏洞是典型的存储型XSS(Stored XSS)漏洞,出现在SourceCodester Online Shop 1.0的注册功能模块中。具体问题在于/shop/register.php文件在处理f_name参数时,未对用户输入进行充分的输入验证和输出编码。攻击者可以在注册表单的姓名字段中注入恶意JavaScript代码,如<script>alert(document.cookie)</script>。由于应用程序直接将该值存储到数据库中,且在后续页面展示时未进行适当的HTML转义,导致恶意代码在其他用户访问相关页面时被浏览器解析执行。攻击向量为网络可访问(AV:N),需要低权限用户身份(PR:L)进行注册操作,且需要受害者访问包含恶意数据的页面(UI:R)。虽然对机密性和完整性影响较低(C:L/I:L),但攻击成功可导致会话劫持、敏感信息泄露等安全问题。修复方案应在服务端对所有用户输入进行严格的输入验证,并在输出时进行HTML实体编码。