CVE-2025-51962 MicroStudio项目页面评论功能HTML注入漏洞

披露日期: 2025-12-15

来源: [email protected]

漏洞信息

漏洞编号

CVE-2025-51962

漏洞类型

HTML注入

CVSS评分

6.1 中危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

需要交互 (UI:R)

影响产品

MicroStudio 24.01.29

漏洞概述

CVE-2025-51962是MicroStudio项目中发现的HTML注入漏洞，该漏洞存在于项目的评论功能中。攻击者可以利用此漏洞在项目页面注入恶意HTML或JavaScript代码，从而影响其他用户。

技术细节

漏洞源于评论输入框未对用户提交的内容进行充分的输入验证和输出编码，攻击者可通过构造特定的payload绕过前端限制并注入任意HTML标签或脚本。

攻击链分析

STEP 1

攻击者访问项目页面并找到评论功能

STEP 2

在评论输入框中注入恶意HTML/JavaScript代码

STEP 3

提交评论后，恶意代码被存储在服务器上

STEP 4

其他用户访问该页面时，恶意代码在其浏览器中执行

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

影响范围

MicroStudio 24.01.29

防御指南

临时缓解措施

临时禁用评论功能或实施严格的输入验证

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表