PHPGurukul Company Visitor Management System bwdates-reports-details.php 跨站脚本漏洞

该XSS漏洞允许攻击者在受影响的系统中注入恶意脚本。攻击者可以利用此漏洞窃取用户会话cookie，冒充合法用户执行操作，甚至完全控制受影响的应用程序。攻击者可以通过构造恶意的fromdate参数，将恶意脚本注入到/bwdates-reports-details.php页面，当用户访问该页面时，恶意脚本将在用户的浏览器中执行。由于该漏洞可以远程利用，攻击者无需访问服务器即可进行攻击。

Organizations using PHPGurukul Company Visitor Management System version 2.0.0–2.0, particularly those with publicly accessible instances and inadequate input validation practices, are at risk. Shared hosting environments where multiple users share the same server are also at increased risk, as a compromised user account could be used to exploit the vulnerability and impact other users.

• php / web:

curl -I 'http://your-target-domain.com/bwdates-reports-details.php?fromdate=<script>alert("XSS")</script>' | grep HTTP/1.1

• generic web:

 grep -i "<script>alert("XSS")</script>" /var/log/apache2/access.log

1. 2026-04-13Disclosure

   disclosure

1. 已保留2026-04-12
2. 发布日期2026-04-13
3. EPSS 更新日期2026-04-20

由于目前没有官方提供的修复版本，建议采取以下缓解措施。首先，对用户输入进行严格的验证和过滤，特别是fromdate参数，确保其符合预期的格式和范围。其次，实施内容安全策略（CSP），限制浏览器可以加载的资源来源，从而降低XSS攻击的风险。此外，可以考虑使用Web应用程序防火墙（WAF）来检测和阻止恶意请求。最后，定期审查代码，查找潜在的安全漏洞。