CVE-2025-63639CVE-2025-63639是Sourcecodester FAQ Bot with AI Assistant v1.0中发现的一个存储型跨站脚本(Stored XSS)漏洞。该漏洞存在于应用程序的聊天功能模块,由于系统对用户输入内容缺乏充分的输入验证和输出编码处理,攻击者可以利用此漏洞向聊天消息中注入恶意的HTML标签或JavaScript脚本代码。当其他用户查看包含恶意代码的聊天记录时,这些脚本将在其浏览器上下文中执行,从而可能导致会话劫持、敏感信息窃取、钓鱼攻击等安全风险。由于该应用面向公众开放且无需认证即可使用,攻击面相对较大,任何访问聊天功能的用户都可能成为潜在受害者。CVSS 3.1评分6.1(中等严重程度)反映了该漏洞对机密性和完整性造成低至中等程度的影响,同时需要用户交互才能成功利用。
该漏洞的根本原因在于应用程序对用户提供的聊天消息输入没有进行适当的安全过滤。具体来说,当用户在FAQ Bot聊天界面提交消息时,系统直接将用户输入的内容存储并显示在页面上,而没有对可能存在的HTML标签、JavaScript事件处理器(如onerror、onload、onclick等)或其他可触发脚本执行的字符进行转义或过滤。攻击者可以构造包含<script>标签或事件处理器属性的恶意payload,例如:<script>alert(document.cookie)</script>或<img src=x onerror=alert(1)>。这些恶意内容被存储在服务器端后,每次有用户访问相关聊天记录时都会触发执行。由于聊天记录会被持久化存储,这种XSS漏洞属于存储型XSS(Stored XSS),其危害性高于反射型XSS,因为恶意脚本会在不知情的用户访问页面时自动执行,无需攻击者进行额外诱导操作。