CVE-2025-67344jshERP v3.5及之前版本存在一处存储型跨站脚本攻击(Stored XSS)漏洞。该漏洞位于系统的/msg/add接口,攻击者可以通过该接口向系统提交包含恶意JavaScript代码的消息内容。当其他用户访问或查看该消息时,恶意脚本将在其浏览器上下文中执行,可能导致会话劫持、敏感信息窃取、钓鱼攻击等安全风险。由于该漏洞为存储型XSS,恶意代码会持久化保存在服务器端,影响所有访问该内容的用户。
该漏洞属于存储型XSS(Stored Cross-Site Scripting)漏洞,攻击原理如下:1) 攻击者通过POST请求向/msg/add端点提交包含恶意JavaScript脚本的消息内容;2) 服务器端未对用户输入进行充分的过滤和转义处理,直接将数据存储到数据库中;3) 当其他用户通过Web界面查看该消息时,服务器从数据库读取并返回包含恶意脚本的页面内容;4) 用户浏览器解析HTML响应时执行恶意脚本代码。由于攻击者可在脚本中获取用户Cookie、进行UI篡改或重定向用户到钓鱼站点,且该脚本会持久化存在于系统中,因此具有较高的危害性。修复方案应在服务端对所有用户输入进行严格的HTML实体编码,并在输出时进行上下文感知的转义处理。