漏洞概述
Isshue by Bdtask 中存在 HTML 注入漏洞(CVE-2025-40679),攻击者可通过向 /category_product_search 端点发送特制的 POST 请求,在 product_name 参数中注入恶意 HTML 内容。该漏洞源于应用未对用户输入进行充分验证,可能导致页面内容被篡改或执行非预期的前端脚本。
漏洞详情
- CVE 编号:CVE-2025-40679
- 漏洞类型:HTML 注入(CWE-79)
- CVSS 评分:5.1(中危)
- 影响版本:Isshue by Bdtask(具体受影响版本未明确说明)
影响范围
使用 Isshue by Bdtask 应用且未对用户输入进行有效过滤的系统可能受到影响,特别是暴露 /category_product_search 接口的部署环境。
风险分析
该漏洞允许攻击者通过构造恶意输入,在目标网页中注入 HTML 内容。虽然 CVSS 评分显示机密性、完整性(主)和可用性无直接影响,但子完整性(Sub-Integrity Impact)为 LOW,表明可能造成页面内容篡改、钓鱼攻击或结合其他漏洞扩大攻击面。攻击需用户交互(如点击链接),但无需身份认证,攻击复杂度低。
修复建议
- 建议厂商或用户及时关注官方安全公告,并应用官方发布的补丁或更新版本。
- 在官方修复前,可对 product_name 等用户输入参数实施严格的输入验证与输出编码,防止 HTML/脚本注入。
