StudentServlet-JSP跨站脚本漏洞及解决办法（CNVD-2025-06945、CVE-2025-3036）

StudentServlet-JSP 是一个基于 Java Web 技术的开源学生管理系统示例项目，旨在帮助初学者掌握 Servlet 和 JSP 的核心概念及开发流程。项目通过分权管理模式实现学生、教师和管理员的功能划分，学生可查看课程与成绩，教师可管理作业与成绩，管理员拥有用户和课程管理权限。

国家信息安全漏洞共享平台于2025-04-11公布该插件存在SQL注入漏洞。

漏洞编号：CNVD-2025-06945、CVE-2025-3036

影响产品：StudentServlet-JSP

漏洞级别：低

公布时间：2025-04-11

漏洞描述：StudentServlet-JSP存在跨站脚本漏洞，该漏洞源于参数 Name 对用户输入的数据缺乏有效的过滤与转义，攻击者利用该漏洞通过注入恶意代码执行任意Web脚本或HTML。

解决办法：

目前厂商尚未发布修复补丁。可以使用『护卫神·防入侵系统』的XSS注入防护模块来解决该问题，不止对该漏洞有效，对所有XSS跨脚本漏洞都可以防护。

1、XSS跨站脚本攻击防护

『护卫神·防入侵系统』的XSS注入防护模块（如下图一），专门用于拦截跨站脚本攻击，默认已开启。

（图一：XSS注入防护模块）