漏洞概述
Poultry Farm Management System v1.0 版本中存在存储型跨站脚本(Stored Cross-Site Scripting, XSS)漏洞。该漏洞源于系统在处理用户输入时缺乏充分的验证与过滤,攻击者可通过向特定接口发送恶意构造的 POST 请求,将恶意脚本持久化存储于服务器端,进而在其他用户访问受影响页面时执行任意脚本代码。
漏洞详情
- CVE 编号:CVE-2025-41025
- 漏洞类型:存储型跨站脚本(Stored XSS),CWE-79
- CVSS 评分:5.1(中危)
- 影响版本:Poultry Farm Management System v1.0
影响范围
该漏洞影响 Poultry Farm Management System v1.0 版本,具体涉及 /farm/sell_product.php 页面中的 category 和 product 参数。任何使用该版本系统的部署环境均可能受到此漏洞影响。
风险分析
攻击者可利用该漏洞在目标系统中注入恶意 JavaScript 脚本。由于是存储型 XSS,恶意脚本会被保存在服务器上,并在其他用户(如管理员或普通用户)访问相关页面时自动执行。这可能导致会话劫持、钓鱼攻击、页面篡改或敏感信息泄露等安全风险。虽然 CVSS 评分为中危,但在具备低权限账户的前提下,结合被动用户交互(如浏览页面),仍可能造成较大危害。
修复建议
- 建议开发者对所有用户输入进行严格的验证、转义和过滤,特别是
category和product参数,确保输出到 HTML 上下文前已进行适当编码。 - 在未发布官方补丁前,可临时通过 Web 应用防火墙(WAF)规则拦截包含可疑脚本标签的 POST 请求,作为缓解措施。
