CVE-2025-63879CVE-2025-63879是E-commerce Project v1.0及更早版本中的一个反射型跨站脚本(XSS)漏洞。该漏洞存在于/ecommerce/products.php组件中,攻击者可以通过在id参数中注入恶意脚本代码来利用此漏洞。当受害者访问包含恶意脚本的URL时,脚本将在受害者的浏览器上下文中执行,从而窃取敏感信息、劫持用户会话或执行其他恶意操作。此漏洞的CVSS评分为6.1,属于中等严重程度,攻击复杂度低,无需认证,但需要用户交互才能成功利用。
该漏洞源于/ecommerce/products.php组件对用户输入的id参数缺乏充分的输入验证和输出编码。攻击者构造包含JavaScript代码的恶意URL,例如:/ecommerce/products.php?id=<script>alert(document.cookie)</script>。当用户访问此URL时,服务器将未经过滤的用户输入直接返回到响应页面中,浏览器将其作为HTML解析并执行注入的脚本。攻击者可利用此漏洞窃取用户会话cookie、进行钓鱼攻击或修改页面内容。