CVE-2025-63714CVE-2025-63714是SourceCodester User Account Generator 1.0版本中的一个存储型跨站脚本(Stored XSS)漏洞。该漏洞存在于用户账户生成器的Username Prefix(用户名前缀)输入字段中,由于应用程序在处理用户输入时缺乏适当的输入验证和输出编码,攻击者可以通过在该字段中注入恶意JavaScript代码来实现持久化的XSS攻击。当其他用户查看包含恶意代码的账户数据时,注入的脚本将在其浏览器上下文中执行,可能导致会话劫持、敏感信息窃取、钓鱼攻击或对应用程序功能的恶意操作。此漏洞不需要高权限即可利用,但需要用户交互触发,属于中等严重程度的安全问题。
该漏洞的根本原因在于应用程序对用户输入的Username Prefix字段没有进行充分的输入验证和输出编码。当用户提交表单数据时,恶意构造的JavaScript代码(如<script>alert('XSS')</script>或事件处理器如<img src=x onerror=alert(1)>)被直接存储到系统数据库中。在后续页面渲染过程中,这些未经过滤的数据被直接插入到DOM中,导致浏览器将其作为可执行脚本处理。攻击者可以利用此漏洞窃取用户会话cookie、伪造用户操作或重定向用户到恶意网站。由于是存储型XSS,恶意代码会持久存在于系统中,影响所有访问该数据的用户。攻击者通常需要诱导受害者访问包含恶意代码的页面或点击触发元素来执行注入的脚本。