CVE-2025-65540CVE-2025-65540是xmall v1.1系统中存在的多个跨站脚本(XSS)安全漏洞。该漏洞由于应用程序对用户输入数据处理不当导致,攻击者可以在用户名(user)、描述(description)等用户输入字段中注入恶意JavaScript或HTML代码。这些未经适当过滤的用户输入直接被渲染到网页HTML中,当其他用户访问包含恶意代码的页面时,攻击者注入的脚本将在受害者浏览器上下文中执行。攻击者可利用此漏洞窃取用户会话Cookie、劫持用户账户、进行钓鱼攻击或传播恶意内容。由于该漏洞需要用户交互触发(UI:R)且攻击复杂度较低(AC:L),攻击者可以通过社会工程学手段诱导受害者访问恶意链接或页面,从而在受害者不知情的情况下执行恶意脚本,危害用户数据安全和系统完整性。
该漏洞属于存储型XSS(Stored XSS)漏洞,攻击者将恶意脚本永久存储在服务器端。xmall v1.1应用在处理用户注册、商品描述等输入时,未对特殊字符进行HTML实体编码或输出过滤。当用户提交包含<script>标签或事件处理器(如onerror、onload)的恶意Payload时,系统直接将原始输入存入数据库。随后当其他用户浏览相关页面时,服务器从数据库读取并返回未经过滤的内容,浏览器将其解析为HTML并执行其中的JavaScript代码。例如,攻击者在用户名中插入<script>alert(document.cookie)</script>,当管理员查看用户列表时,恶意脚本会以管理员权限执行,从而实现会话劫持或凭据窃取。由于应用采用RESTful API架构且未实现严格的输入验证和输出编码机制,导致多处功能点均存在XSS风险。