CVE-2025-63725: SVX Portal 2.7A Recivers.php 反射型XSS漏洞

披露日期: 2025-11-14

来源: [email protected]

漏洞信息

漏洞编号

CVE-2025-63725

漏洞类型

反射型XSS

CVSS评分

6.1 中危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

需要交互 (UI:R)

影响产品

SVX Portal 2.7A

漏洞概述

这是SVX Portal 2.7A版本中Recivers.php文件存在的安全漏洞。攻击者可通过构造恶意URL，利用id参数注入恶意脚本代码，当受害者访问该链接时，脚本将在其浏览器上下文中执行，可能导致会话劫持、敏感信息窃取等严重后果。由于该漏洞属于反射型XSS，无需持久化恶意代码即可实施攻击，显著降低了攻击难度。

技术细节

漏洞源于Recivers.php对id参数的输入验证不足。攻击者构造包含恶意JavaScript代码的链接，当受害者点击时，脚本在反射回响应中执行，可窃取Cookie、会话令牌等敏感信息。

攻击链分析

STEP 1

攻击者构造恶意链接，包含XSS payload

STEP 2

受害者点击链接，浏览器发送请求

STEP 3

服务器未过滤直接返回用户输入

STEP 4

浏览器执行注入的恶意脚本

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

影响范围

SVX Portal 2.7A

防御指南

临时缓解措施

立即升级SVX Portal至修复版本，同时实施输入验证和输出编码

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表