CVE-2025-50363CVE-2025-50363是Phpgurukul Maid Hiring Management System 1.0版本中的一个存储型跨站脚本(XSS)漏洞。该漏洞位于/maid-hiring.php页面的name字段,攻击者可以通过该字段注入恶意JavaScript代码。由于该系统在处理用户输入时未对特殊字符进行充分的过滤和转义,导致攻击者输入的恶意脚本会被存储在服务器端,并在其他用户访问相关页面时执行。CVSS评分5.4,属于中等严重程度。攻击复杂度低,但需要用户交互才能触发。攻击者可以利用此漏洞窃取用户会话cookie、劫持用户账户、进行钓鱼攻击或修改页面内容,对应用程序的完整性和机密性造成一定影响。
漏洞存在于Phpgurukul Maid Hiring Management System的maid-hiring.php文件中,具体在处理用户姓名输入的name参数时未进行输入验证和输出编码。攻击者可以通过构造包含JavaScript代码的payload(如<script>alert(document.cookie)</script>)并提交到name字段。该恶意代码会被存储在数据库中,当管理员或其他用户查看相关数据时,浏览器会解析并执行这段脚本。攻击者可利用此漏洞获取受害者的认证令牌、会话ID或其他敏感信息。由于系统未实施内容安全策略(CSP)或输出编码机制,恶意脚本可以成功执行。此类存储型XSS比反射型XSS危害更大,因为恶意代码会持久存在于系统中,影响所有访问该页面的用户。