EyouCMS 1.7.3中的XSS漏洞CVE-2025-52335

EyouCMS 是一款基于 TP5.0 框架开发的开源企业内容管理系统，该产品专注于企业网站建设需求，提供海量行业模板和低代码建站功能。

EyouCMS 采用 PHP+MySQL 架构，支持多平台扩展（如小程序、公众号互通等），旨在降低中小企业网站建设成本提升线上营销效率。

一、基本情况

EyouCMS 可快速搭建官网、商城、服务类网站等，支持多站点管理（无限级分类站点）和内容协同，适合需SEO优化和低成本获客企业。

栋科技漏洞库关注到EyouCMS 1.7.3版本中存在一个XSS漏洞，该安全漏洞被追踪为CVE-2025-52335，该安全漏洞CVSS 3.1评分为6.1。

二、漏洞分析

CVE-2025-52335漏洞是EyouCMS 1.7.3版本index.php存在跨站脚本（Cross Site Scripting，简称XSS）漏洞，可能被利用获取敏感信息。

XSS主要有三种类型：

一旦注入恶意脚本，攻击者就可以执行各种恶意活动。

攻击者可以将私人信息（如可能包含会话信息的Cookie）从受害者的计算机传输给攻击者。

攻击者可以代表受害者向网站发送恶意请求，如果受害者具有管理该网站的管理员权限，这对该网站可能特别危险。

网络钓鱼攻击可用于模拟受信任的网站，并诱骗受害者输入密码，使攻击者能够入侵受害者在该网站上的帐户。

最后，该脚本可能会利用网络浏览器本身的漏洞，该漏洞可能会接管受害者的机器，有时被称为“drive-by hacking”。

在许多情况下，攻击可能会在受害者甚至没有意识到的情况下发起。

即使是谨慎的用户，攻击者也经常使用各种方法对攻击的恶意部分进行编码，例如URL编码或Unicode，因此请求看起来不那么可疑。

三、影响范围

EyouCMS 1.7.3

四、修复建议

EyouCMS >= 1.7.6

五、参考链接

管理员已设置登录后刷新可查看