CVE-2025-12251CVE-2025-12251是OpenWGA 7.11.12 Build 737版本中发现的跨站脚本(XSS)安全漏洞。该漏洞位于OpenWGA管理后台Admin UI组件中,攻击者可以通过操纵特定参数注入恶意脚本代码。由于该漏洞需要低权限用户身份配合用户交互才能触发,因此CVSS评分仅为3.5分,属于低危级别。漏洞已于2025年10月27日被公开披露,虽然发现者提前联系了厂商,但厂商未做出任何回应。此漏洞可能导致敏感信息泄露、会话劫持等安全问题,建议受影响用户尽快采取防御措施。
该XSS漏洞存在于OpenWGA管理界面的Admin UI组件中。攻击者通过构造特制的恶意输入参数,在管理后台的用户界面中注入JavaScript或其他脚本代码。由于漏洞位于管理功能区域,攻击者需要具备低权限账户(如普通管理员或内容编辑者账号)才能利用此漏洞。攻击成功需要目标用户与恶意内容进行交互(如访问特定页面或点击链接)。漏洞利用可能导致以下风险:窃取管理员会话Cookie、修改管理界面显示内容、诱导管理员执行恶意操作、获取后台敏感信息等。由于OpenWGA是Web内容管理平台,其管理后台通常具有较高的访问权限,因此即便低危级别的XSS漏洞也可能造成严重后果。