CVE-2026-5325SourceCodester Simple Customer Relationship Management System 1.0版本中存在一个安全漏洞。该漏洞源于/create-ticket.php文件中的“Create Ticket”组件未能正确过滤用户输入。具体而言,攻击者可以通过操纵“Description”参数注入恶意脚本,导致跨站脚本攻击(XSS)。由于该系统允许远程利用且不需要复杂的权限配置,恶意攻击者可借此漏洞在受害者的浏览器中执行任意JavaScript代码,从而窃取会话Cookie或进行其他恶意操作。
该漏洞属于存储型跨站脚本攻击(Stored XSS),位于SourceCodester Simple CRM系统的工单创建模块中。漏洞产生的根本原因是后端代码在处理/create-ticket.php请求时,未对“Description”字段进行充分的输入验证和输出编码。技术上,攻击者需要拥有低权限账户(PR:L),并在创建工单的页面中,在“Description”文本框内输入恶意的HTML/JavaScript载荷(例如<script>alert(document.cookie)</script>)。当数据提交并存储到数据库后,一旦管理员或其他具有权限的用户查看该工单列表或详情时,存储在数据库中的恶意脚本将在其浏览器上下文中渲染执行。由于CVSS向量显示UI:R(需要用户交互),这意味着攻击者需要诱导目标用户查看受污染的工单页面才能触发攻击。虽然机密性影响(C)在NVD描述中为N,但通常XSS可导致Cookie窃取(C:L),此处依据提供的CVSS向量C:N/I:L/A:N进行描述,主要风险在于完整性受损,如篡改页面内容或执行未授权操作。