漏洞概述
IsMyGym(由 Zuinq Studio 开发)存在反射型跨站脚本(XSS)漏洞。攻击者可通过构造包含恶意 JavaScript 代码的 URL(格式如 ‘/
漏洞详情
- CVE 编号:CVE-2025-41081
- 漏洞类型:反射型跨站脚本(Reflected Cross-Site Scripting, XSS)
- CVSS 评分:5.1(中危,CVSS v4.0)
- 影响版本:未明确指定,但涉及 IsMyGym 应用程序中存在路径处理缺陷的版本
影响范围
使用 IsMyGym 应用程序且未对用户输入进行充分过滤和输出编码的系统均可能受到影响。具体受影响版本需参考厂商安全公告。
风险分析
该漏洞允许攻击者通过诱导用户访问特制链接,在其浏览器上下文中执行任意 JavaScript 代码。可能导致会话劫持、账户接管、钓鱼攻击或敏感数据泄露等后果。由于需要用户主动点击恶意链接(用户交互为“ACTIVE”),攻击成功率依赖于社会工程手段。
修复建议
- 建议用户及时联系 Zuinq Studio 获取官方安全补丁或升级至已修复该漏洞的版本。
- 在官方修复发布前,可临时对所有用户输入进行严格的验证与输出编码,尤其是对 URL 路径参数中的特殊字符(如 <、>、”、’、& 等)进行 HTML 实体转义,防止脚本注入。
