发布日期：2025-07-31
更新日期：2025-11-04

受影响系统：

DevaslanPHP Project Management 1.2.4

描述：

---

CVE(CAN) ID: CVE-2025-52203

Project Management是DevaslanPHP开源的一个开源项目管理工具。
Project Management 1.2.4版本的“票据名称”字段存在跨站脚本漏洞，该漏洞源于程序未正确过滤用户输入，经过身份认证的攻击者可利用该漏洞在该字段中注入恶意JavaScript载荷，在合法用户登录时将其重定向到仪表板面板，从而在用户浏览器环境中执行恶意脚本。

<**>

建议：

---

厂商补丁：

DevaslanPHP
-----------
厂商尚未提供漏洞修复方案，请关注厂商主页更新：
https://github.com/ischyr/research-and-development/tree/main/CVE-2025-52203

浏览次数：45
严重程度：0（网友投票）