CVE-2025-12290CVE-2025-12290是SuiShang(遂商)企业级B2B2C多商户商城系统1.0版本中的一个存储型跨站脚本(Stored XSS)漏洞。该漏洞存在于文件/i/359的keywords参数处理中,攻击者可以通过在keywords参数中注入恶意JavaScript脚本,当其他用户访问包含该参数的页面时,恶意脚本将在用户浏览器中执行。这可能导致会话劫持、敏感信息窃取、钓鱼攻击等严重安全风险。由于该漏洞被公开披露且厂商未做出响应,建议用户立即采取防护措施。
该漏洞为存储型XSS(Stored Cross-Site Scripting)漏洞,攻击者利用系统对用户输入的keywords参数未进行充分过滤和转义,将恶意JavaScript代码存储到服务器端。当其他用户访问相关页面时,这些恶意代码会被浏览器解析执行。攻击者可以利用此漏洞窃取用户会话cookie、劫持用户账户、进行钓鱼攻击或植入恶意重定向。由于攻击可通过网络远程发起(AV:N),无需认证(PR:N),但需要诱导用户访问特定页面(UI:R),因此CVSS评分为4.3分。漏洞存在于/i/359接口,该接口可能用于商品搜索或列表展示功能。