CVE-2025-13469CVE-2025-13469是Public Knowledge Project旗下的OMP(Open Monograph Press)和OJS(Open Journal Systems)系统中存在的存储型跨站脚本漏洞。该漏洞影响3.3.0、3.4.0和3.5.0版本,存在于支付方式手动设置插件的paymentForm.tpl模板文件中。攻击者可通过manualInstructions参数注入恶意JavaScript代码,由于该数据会存储在服务器端并在前端页面渲染时执行,因此属于存储型XSS。漏洞需要高权限用户操作触发,且需要用户交互才能利用。虽然CVSS评分仅为2.4(低危),但存储型XSS可窃取用户会话、劫持账户或进行钓鱼攻击,仍需及时修复。
该漏洞存在于OMP/OJS的手动支付方式插件中,具体位置为plugins/paymethod/manual/templates/paymentForm.tpl文件。在Payment Instructions Setting Handler组件处理manualInstructions参数时,未对用户输入进行充分的HTML转义或输入验证。攻击者可在支付设置页面的manualInstructions字段中注入包含<script>标签或事件处理器(如onerror、onload)的恶意代码。由于该数据存储在数据库中,当管理员或其他用户访问相关页面时,恶意脚本会在其浏览器上下文中执行。攻击者可利用此漏洞窃取Cookie、会话令牌,或诱导用户执行恶意操作。修复方案需在模板渲染前对manualInstructions参数进行HTML实体编码,确保特殊字符被正确转义。