漏洞概述
Poultry Farm Management System v1.0 中存在存储型跨站脚本(Stored Cross-Site Scripting, XSS)漏洞。该漏洞源于系统在处理用户输入时缺乏适当的验证和过滤,攻击者可通过向 /farm/farmprofile.php 页面提交恶意 POST 请求,在多个参数中注入恶意脚本,从而在其他用户访问受影响页面时执行任意 JavaScript 代码。
漏洞详情
- CVE 编号:CVE-2025-41024
- 漏洞类型:存储型跨站脚本(Stored XSS),对应 CWE-79
- CVSS 评分:5.1(中危)
- 影响版本:Poultry Farm Management System v1.0
影响范围
该漏洞影响 Poultry Farm Management System v1.0 版本,具体涉及 /farm/farmprofile.php 页面中以下参数:
companyaddress、companyemail、companyname、country、mobilenumber 和 regno。
任何使用该系统的农场管理平台若未修复此问题,均可能受到攻击。
风险分析
由于该 XSS 漏洞为“存储型”,攻击者可将恶意脚本持久化保存在服务器端。当其他具有权限的用户(如管理员)访问包含恶意输入的页面时,脚本将在其浏览器中自动执行,可能导致会话劫持、钓鱼攻击、页面篡改或敏感信息泄露等后果。尽管 CVSS 评分为中危,但在特定业务场景下仍可能造成严重安全影响。
修复建议
- 建议开发方对所有用户输入进行严格的验证、转义和过滤,特别是在将数据存储到数据库并在网页中渲染之前,应使用上下文相关的输出编码(如 HTML、JavaScript 转义)。
- 在无法立即升级的情况下,可临时通过 Web 应用防火墙(WAF)规则拦截包含典型 XSS 载荷的请求,作为缓解措施。
