CVE-2025-63450CVE-2025-63450是Car-Booking-System-PHP v1.0版本中的一个存储型跨站脚本(XSS)漏洞,位于/carlux/booking.php文件。该漏洞允许未经认证的攻击者通过在预订表单中注入恶意JavaScript代码,当其他用户访问受污染的页面时,恶意脚本将在受害者浏览器中执行。攻击者可利用此漏洞窃取用户会话Cookie、劫持用户账户、进行钓鱼攻击或修改页面内容。由于CVSS评分为5.4(中等严重程度),且攻击复杂度低,无需特殊权限,但需要用户交互,因此在实际攻击场景中需要诱导用户访问恶意页面。该漏洞影响系统的机密性和完整性,可导致用户数据泄露和网站内容篡改。Car-Booking-System-PHP是一个基于PHP和MySQL开发的汽车预订管理系统,广泛应用于小型租车企业和汽车租赁服务提供商。
该漏洞为存储型XSS(Stored XSS),存在于Car-Booking-System-PHP的预订功能模块中。攻击者通过向/carlux/booking.php页面提交包含恶意JavaScript代码的表单数据(如姓名、电话、邮箱等字段),系统未对用户输入进行充分的输入验证和输出编码,直接将数据存储到数据库。当管理员或其他用户查看预订列表时,恶意脚本随页面内容一同被渲染到浏览器中执行。漏洞产生的根本原因是程序在处理用户输入时缺少适当的HTML实体编码或内容安全策略(CSP)限制。攻击者可以利用<script>标签、事件处理器(如onerror、onload)或javascript:伪协议构造恶意载荷。典型利用方式为窃取用户Cookie中的会话标识符,进而冒充合法用户进行操作。修复方案应在服务端对所有用户输入进行严格过滤,并使用htmlspecialchars()或htmlentities()等函数对输出数据进行编码。