CVE-2025-15214 CVSS 2.4 低危

CVE-2025-15214 Campcodes Park Ticketing System跨站脚本漏洞

披露日期: 2025-12-30

来源: [email protected]

漏洞信息

漏洞编号

CVE-2025-15214

漏洞类型

XSS跨站脚本

CVSS评分

2.4 低危

攻击向量

网络 (AV:N)

认证要求

高权限 (PR:H)

用户交互

需要交互 (UI:R)

影响产品

Campcodes Park Ticketing System 1.0

漏洞概述

CVE-2025-15214是Campcodes Park Ticketing System 1.0版本中的一个跨站脚本(XSS)漏洞。该漏洞存在于admin_class.php文件的save_pricing函数中，攻击者可以通过构造恶意的name或ride参数来注入恶意脚本代码。由于该系统是公园票务管理系统，攻击者可能利用此漏洞窃取管理员会话信息、进行钓鱼攻击或修改页面内容。漏洞的CVSS评分为2.4，属于低危级别，但仍然需要管理员交互才能触发，攻击者可能通过社工手段诱导管理员访问恶意链接。

技术细节

该漏洞为存储型XSS漏洞，攻击者通过在save_pricing函数的name或ride参数中注入JavaScript代码，如<script>alert('XSS')</script>，当管理员访问相关管理页面时，恶意脚本会被执行。由于漏洞需要高权限用户操作，且需要用户交互，攻击复杂度较低，但仍然可能造成会话劫持等安全问题。

攻击链分析

STEP 1

信息收集

攻击者识别目标系统为Campcodes Park Ticketing System 1.0

STEP 2

构造Payload

在name或ride参数中注入XSS payload

STEP 3

诱导交互

通过社工手段诱导管理员访问包含恶意代码的页面

STEP 4

执行攻击

恶意脚本在管理员浏览器中执行，窃取会话信息

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

POST /admin_class.php HTTP/1.1
Host: target.com
Content-Type: application/x-www-form-urlencoded

name=<script>alert(document.cookie)</script>&ride=test&action=save_pricing

影响范围

Campcodes Park Ticketing System 1.0

防御指南

临时缓解措施

在处理用户输入时实施严格的输入验证，对所有输出进行HTML实体编码，避免直接输出用户可控的数据

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2025-15214
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2025-15214
3 Details https://www.cvedetails.com/cve/CVE-2025-15214/
4 VulDB https://vuldb.com/cve/CVE-2025-15214
5 Link https://github.com/dobkill/CVE/issues/2
6 Link https://vuldb.com/?ctiid.338599
7 Link https://vuldb.com/?id.338599
8 Link https://vuldb.com/?submit.725104
9 Link https://vuldb.com/?submit.728898
10 Link https://www.campcodes.com/

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表