CloudClassroom-PHP-Project 跨站可执行脚本漏洞

漏洞信息

漏洞名称： CloudClassroom-PHP-Project 跨站可执行脚本漏洞

漏洞编号：

CVE： CVE-2025-50866

漏洞类型： 跨站可执行脚本

漏洞等级： 中危

漏洞描述： CloudClassroom-PHP-Project是一个基于PHP的在线课堂项目，旨在提供一个平台供教师和学生进行互动和学习。该项目通常部署在教育机构的服务器上，用于支持远程教学和学习活动。由于其开源性质，它可能被广泛用于各种教育场景中。该项目的1.0版本中存在一个反射型跨站脚本（XSS）漏洞，位于postquerypublic端点的email参数中。由于对用户输入的不当过滤，攻击者可以通过构造恶意的POST请求，将任意JavaScript代码注入到页面中，这些代码将在用户的浏览器上下文中执行。这种漏洞的根源在于应用程序未能对用户提供的email参数进行适当的清理和验证，导致恶意脚本的执行。这种漏洞可能导致会话劫持、钓鱼攻击或其他恶意活动，因为攻击者可以利用注入的脚本窃取用户的会话令牌或其他敏感信息。由于攻击可以通过远程方式执行，且不需要用户交互，因此这种漏洞的风险较高。攻击者只需诱使受害者访问一个特制的链接或提交一个特制的表单，即可触发漏洞。

产品厂商： https://github.com/mathurvishal/CloudClassroom-PHP-Project

产品名称： CloudClassroom-PHP-Project

影响版本： 1.0

来源： https://github.com/SacX-7/CVE-2025-50866

类型： CVE-2025:github search

仓库文件

Cross Site Scripting (XSS)
README.md

来源概述

CloudClassroom-PHP-Project 1.0 contains a reflected Cross-site
Scripting (XSS) vulnerability in the email parameter of the
postquerypublic endpoint. Improper sanitization allows an attacker to
inject arbitrary JavaScript code that executes in the context of the
user s browser, potentially leading to session hijacking or phishing
attacks.

Vulnerability Type :

Cross Site Scripting (XSS)

Vendor of Product :

https://github.com/mathurvishal/CloudClassroom-PHP-Project

Affected Product Code Base :

https://github.com/mathurvishal/CloudClassroom-PHP-Project 1.0 - https://github.com/mathurvishal/CloudClassroom-PHP-Project 1.0

Affected Component :
postquerypublic.php, email parameter in POST request

Attack Type :
Remote

Attack Vectors

An attacker can exploit this vulnerability by sending a crafted POST request to the vulnerable endpoint /CloudClassroom-PHP-Project-master/postquerypublic, injecting malicious JavaScript via the email parameter. The application reflects this input without sanitization, leading to reflected XSS.