CVE-2025-61087CVE-2025-61087是SourceCodester宠物美容管理系统(Pet Grooming Management Software)1.0版本中存在的一个跨站脚本(XSS)漏洞。该漏洞位于系统的客户管理模块(Customer Management Section)的客户姓名(Customer Name)字段中。由于该字段对用户输入的数据未进行充分的过滤、转义或编码处理,攻击者可以通过在客户姓名字段中注入恶意的JavaScript代码或HTML标签来实施XSS攻击。
该漏洞的CVSS 3.1评分为6.1,属于中等危险级别。其攻击向量为网络(AV:N),攻击复杂度低(AC:L),无需权限(PR:N),但需要用户交互(UI:R)。这意味着攻击者需要诱导受害者(如管理员)访问或查看包含恶意代码的页面才能触发漏洞。漏洞的影响范围为变更(S:C),对机密性和完整性产生低级别影响,但不影响可用性。
SourceCodester宠物美容管理系统是一款用于宠物美容店铺管理的Web应用程序,包含客户管理、预约管理、服务记录等功能。由于该漏洞存在于客户管理这一核心功能模块中,一旦被恶意利用,可能导致管理员会话被劫持、敏感数据泄露、恶意操作执行等安全风险。该漏洞已于2025年10月2日被公开披露,漏洞发现者为Shuvo Ahmed Sanin。
该XSS漏洞的根本原因在于SourceCodester宠物美容管理系统1.0版本在处理客户管理模块中客户姓名(Customer Name)字段的用户输入时,未对输入内容进行适当的HTML实体编码或危险字符过滤。具体而言,当管理员或授权用户通过客户管理界面添加新客户时,系统将用户提交的客户姓名直接存储到数据库中,并在后续页面渲染时未经过充分的输出编码直接输出到HTML页面中。
攻击者可以通过在客户姓名字段中注入类似 <script>alert(document.cookie)</script> 或 <img src=x onerror=alert(1)> 等恶意载荷来实现XSS攻击。当管理员或其他用户查看包含恶意客户姓名的页面时,嵌入的恶意脚本将在受害者的浏览器上下文中执行。
由于该漏洞的CVSS向量中包含UI:R(需要用户交互)和S:C(范围变更),这表明该漏洞可能是一种存储型XSS(Stored XSS)。攻击者首先需要通过某种方式(如注册账户或利用系统其他输入点)将恶意脚本注入到客户姓名字段中,然后等待管理员查看客户列表或客户详情页面时触发。攻击成功后,攻击者可以窃取管理员的会话Cookie、进行钓鱼攻击、篡改页面内容或执行其他恶意操作。由于无需认证(PR:N),这进一步降低了攻击的门槛。