10秒后自動關閉
StudentServlet-JSP跨站腳本漏洞及解決辦法(CNVD-2025-06945、CVE-2025-3036)

StudentServlet-JSP 是一個基于 Java Web 技術的開源學生管理系統(tǒng)示例項目,旨在幫助初學者掌握 Servlet 和 JSP 的核心概念及開發(fā)流程。項目通過分權管理模式實現(xiàn)學生、教師和管理員的功能劃分,學生可查看課程與成績,教師可管理作業(yè)與成績,管理員擁有用戶和課程管理權限。


國家信息安全漏洞共享平臺于2025-04-11公布該插件存在SQL注入漏洞。

漏洞編號:CNVD-2025-06945、CVE-2025-3036

影響產(chǎn)品:StudentServlet-JSP

漏洞級別

公布時間:2025-04-11

漏洞描述:StudentServlet-JSP存在跨站腳本漏洞,該漏洞源于參數(shù) Name 對用戶輸入的數(shù)據(jù)缺乏有效的過濾與轉(zhuǎn)義,攻擊者利用該漏洞通過注入惡意代碼執(zhí)行任意Web腳本或HTML。



解決辦法:

目前廠商尚未發(fā)布修復補丁?梢允褂谩護衛(wèi)神·防入侵系統(tǒng)』的XSS注入防護模塊來解決該問題,不止對該漏洞有效,對所有XSS跨腳本漏洞都可以防護。



1、XSS跨站腳本攻擊防護

護衛(wèi)神·防入侵系統(tǒng)』的XSS注入防護模塊(如下圖一),專門用于攔截跨站腳本攻擊,默認已開啟。


XSS注入防護模塊

(圖一:XSS注入防護模塊)