CVE-2025-13702CVE-2025-13702是IBM Sterling Partner Engagement Manager中的一个存储型跨站脚本(Stored XSS)漏洞。该漏洞影响6.2.3.0至6.2.3.5版本以及6.2.4.0至6.2.4.2版本。漏洞允许已认证用户在Web UI中嵌入任意JavaScript代码,从而改变预期功能,可能导致在受信任会话中泄露凭据。攻击者利用此漏洞可以窃取用户会话cookie、劫持用户会话、修改页面内容或进行钓鱼攻击。由于该漏洞需要认证用户权限,因此攻击门槛相对较高,但一旦成功,攻击者可以在受害者浏览受影响页面时执行恶意脚本,对企业数据安全构成威胁。
该漏洞是存储型XSS(Stored XSS),攻击者将恶意JavaScript代码注入到应用程序的数据库或持久化存储中。当其他用户访问包含该恶意代码的页面时,服务器从数据库检索并展示该内容,导致JavaScript在受害者浏览器中执行。攻击者可以利用此漏洞:1)在Web UI的输入字段中注入恶意脚本,如在用户配置、组织设置或数据传输字段中;2)当管理员或其他用户查看受影响的数据时,恶意脚本自动执行;3)通过document.cookie窃取会话Cookie,实现会话劫持;4)修改页面DOM结构进行钓鱼攻击。CVSS 6.1评分反映了该漏洞通过网络利用、需要用户交互但影响范围有限的特点。