CVE-2025-63534 - 血液银行管理系统跨站脚本漏洞
概述
CVE-2025-63534是一个跨站脚本漏洞,存在于Blood Bank Management System 1.0的login.php组件中。该应用程序在将用户提供的输入渲染到响应之前,未能对其进行适当的清理或编码。攻击者可以向msg和error参数注入恶意的JavaScript有效载荷,当受害者查看页面时,这些脚本将在其浏览器中执行。
漏洞详情
- 发布日期:2025年12月1日 下午4:15
- 最后修改日期:2025年12月1日 下午5:15
- 是否可远程利用:是
- 漏洞来源:cve@mitre.org
受影响产品
目前尚未记录受影响的具体产品信息。
- 受影响供应商总数:0
- 受影响产品数:0
CVSS评分
| 分数 | 版本 | 严重性 | 向量 | 可利用性分数 | 影响分数 | 来源 |
|---|---|---|---|---|---|---|
| 8.5 | CVSS 3.1 | 高 | AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:L/A:N | 3.1 | 4.7 | cve@mitre.org |
| 8.5 | CVSS 3.1 | 高 | AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:L/A:N | 3.1 | 4.7 | MITRE-CVE |
CVSS 3.1基础评分详情:8.5
- 攻击向量:网络
- 攻击复杂度:低
- 所需权限:低
- 用户交互:无
- 作用范围:已更改
- 机密性影响:高
- 完整性影响:低
- 可用性影响:无
解决方案
建议采取以下措施防止恶意脚本执行:
- 对用户输入进行清理,防止恶意脚本执行。
- 在渲染之前对用户提供的输入进行编码。
- 实施输入验证和清理。
- 将应用程序更新到安全版本。
参考链接
以下是提供CVE-2025-63534深入信息、实用解决方案和有价值工具的外部链接:
CWE - 常见缺陷枚举
CVE-2025-63534与以下CWE关联:
- CWE-79:在网页生成过程中对输入进行不当中和(“跨站脚本”)
常见攻击模式枚举与分类
以下是与CVE-2025-63534弱点相关的常见攻击模式:
- CAPEC-63:跨站脚本
- CAPEC-85:AJAX足迹探测
- CAPEC-209:利用MIME类型不匹配的XSS
- CAPEC-588:基于DOM的XSS
- CAPEC-591:反射型XSS
- CAPEC-592:存储型XSS
漏洞历史记录
| 修改日期 | 修改者 | 操作 | 类型 | 旧值 | 新值 |
|---|---|---|---|---|---|
| 2025年12月1日 | cve@mitre.org | 添加 | 描述 | 无 | 漏洞描述文本 |
| 2025年12月1日 | cve@mitre.org | 添加 | CVSS V3.1 | 无 | AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:L/A:N |
| 2025年12月1日 | cve@mitre.org | 添加 | 参考链接 | 无 | 三个参考链接 |
| 2025年12月1日 | 134c704f-9b21-4f2e-91b3-4a467353bcc0 | 添加 | CWE | 无 | CWE-79 |