The Language Sloth Web Application Stored Cross-Site Scripting Vulnerability

漏洞信息

漏洞名称： The Language Sloth Web Application Stored Cross-Site Scripting Vulnerability

漏洞编号：

• CVE： CVE-2025-45778

漏洞类型： 跨站可执行脚本

漏洞等级： 中危

漏洞描述： The Language Sloth Web Application v1.0 是一款用于语言学习的网络应用程序，广泛应用于教育机构和个人用户中，旨在提供便捷的语言学习工具和资源。该应用程序的典型部署场景包括在线教育平台和个人学习环境，因其用户友好的界面和功能而受到广泛欢迎。该应用程序存在一个存储型跨站脚本（XSS）漏洞，攻击者可以通过在创建新项目时向“Description”文本字段注入精心构造的负载来执行任意的JavaScript或HTML代码。这一漏洞的技术根源在于应用程序未能对用户输入进行充分的验证和过滤，导致恶意脚本被存储在服务器上，并在其他用户访问受影响页面时执行。这种漏洞可能导致严重的安全风险，包括但不限于用户会话劫持、敏感信息泄露、以及恶意软件的分发。由于攻击者需要认证才能利用此漏洞，因此其利用门槛相对较高，但一旦成功利用，影响范围可能相当广泛。

产品厂商： The Language Sloth

产品名称： The Language Sloth Web Application

影响版本： v1.0

来源： https://github.com/Smarttfoxx/CVE-2025-45778

类型： CVE-2025:github search

仓库文件

• README.md

来源概述

CVE-2025-45778

CVE-2025-45778: Authenticated Stored XSS.

An authenticated stored cross-site scripting (XSS) vulnerability in The Language Sloth Web Application v1.0 allows attackers to execute arbitrary JavaScript or HTML code via injecting a crafted payload into the “Description” text field when creating a new project.

Once the payload is injected, every time that a user opens the page it will trigger the payload.

A simple payload such as <script>alert('XSS')</script> is enough to trigger the Stored XSS vulnerability.

The vendor is aware of the vulnerability and authorized the publication of this article.

Credits for discovery

Ivan Carlos Oliveira (smarttfoxx), Filipe Ortega (Lain), Rogerio Josef Massouh (V01)