CVE-2025-63520CVE-2025-63520是FeehiCMS 2.1.1版本中的一个存储型跨站脚本(XSS)漏洞。该漏洞存在于用户更新功能(User Update Function)中,具体通过id参数进行注入。攻击者可以利用此漏洞在受害者的浏览器中执行任意JavaScript代码,从而窃取会话令牌、劫持用户账户、修改页面内容或进行钓鱼攻击。由于该漏洞无需认证即可利用(PR:N),但需要用户交互(UI:R),因此攻击者需要诱导已登录用户访问恶意构造的链接。CVSS评分6.1属于中等严重程度,主要影响系统的机密性和完整性。FeehiCMS是一款基于PHP开发的内容管理系统,广泛应用于企业网站和个人博客。该XSS漏洞的存在可能导致大量用户数据泄露和网站声誉受损。建议相关用户及时关注官方安全公告并采取相应的修复措施。
该漏洞属于存储型XSS(Stored XSS)漏洞,攻击者通过构造恶意Payload注入到FeehiCMS 2.1.1的用户更新功能中。具体攻击向量为URL参数id,即(?r=user%2Fupdate)页面中的id参数。攻击者可以在id参数中注入JavaScript代码,当管理员或其他用户访问包含恶意代码的页面时,注入的脚本将在其浏览器上下文中执行。由于该参数在数据库中存储后未进行充分的输入验证和输出编码,恶意脚本会被永久保存在系统中,影响所有访问该页面的用户。攻击者通常利用此漏洞窃取Cookie中的会话令牌,进而冒充合法用户进行操作。漏洞利用前提是目标用户已登录系统且访问了攻击者构造的恶意链接。在CVSS 3.1评分体系中,该漏洞的攻击向量为网络(AV:N),攻击复杂度低(AC:L),无需权限(PR:N),但需要用户交互(UI:R)。