CVE-2025-63543CVE-2025-63543是TechStore 1.0版本中的一个存储型跨站脚本(XSS)漏洞。该漏洞存在于搜索功能模块,攻击者可以通过在搜索框中注入恶意JavaScript代码,当其他用户访问搜索结果页面时,恶意脚本会在其浏览器中执行。这可能导致会话劫持、敏感信息窃取或对用户进行钓鱼攻击。漏洞的CVSS评分为6.1,属于中危级别。攻击复杂度低,无需特殊权限,但需要用户交互才能触发。由于该漏洞影响产品的核心搜索功能,潜在影响范围较广。
漏洞源于TechStore 1.0的/search_results端点对用户输入的q参数缺乏充分的输入验证和输出编码。攻击者可以构造包含<script>标签或事件处理器(如onerror、onload)的恶意Payload,例如:"><script>alert(document.cookie)</script>或<img src=x onerror=alert(1)>。这些Payload会被直接存储在搜索结果页面中,当其他用户访问时,浏览器会将其解析为可执行脚本。由于q参数在搜索功能中高频使用,攻击者可以大规模地针对用户群体。