CVE-2025-64070CVE-2025-64070是Sourcecodester学生成绩管理系统v1.0版本中的一个存储型跨站脚本(Stored XSS)漏洞。该漏洞存在于系统添加新科目(Add New Subject)功能中的描述字段(Description field)。攻击者可以通过在该字段中注入恶意的JavaScript脚本代码,当其他用户访问或查看该科目信息时,恶意代码会在其浏览器上下文中执行,从而窃取用户会话cookie、劫持用户账户、进行钓鱼攻击或修改页面显示内容。由于该系统通常用于教育机构管理学生成绩数据,漏洞可能导致学生个人信息泄露、成绩数据篡改等严重后果。CVSS评分5.4分,等级为中危,攻击向量为网络,认证要求低权限但需要用户交互,机密性和完整性影响均为低。
该漏洞是典型的存储型XSS(Stored XSS)漏洞,攻击原理如下:1)攻击者登录系统后,在添加新科目功能中找到Description字段;2)攻击者在该字段中输入恶意JavaScript代码,如<script>alert(document.cookie)</script>;3)系统未对用户输入进行充分的输入验证和输出编码,直接将数据存储到数据库中;4)当管理员或教师查看科目列表或详情页面时,存储的恶意脚本被浏览器解析执行;5)攻击者可利用此漏洞窃取受害者的会话令牌,进而冒充受害者进行操作。漏洞根源在于系统在后端未实施输入验证(Input Validation)和输出编码(Output Encoding),前端也未对用户输入进行安全过滤。修复方案包括:对所有用户输入实施严格的输入验证,使用HTML实体编码转义特殊字符,实施内容安全策略(CSP),以及对高风险字段使用WAF防护。