CVE-2025-15145CVE-2025-15145是搜狐TV缓存云平台CacheCloud中存在的一处跨站脚本(XSS)安全漏洞。该漏洞影响CacheCloud 3.2.0及之前版本,存在于TotalManageController.java文件的doTotalList方法中。由于该方法对用户输入未进行充分的输入验证和输出编码,攻击者可以通过构造恶意脚本代码注入到Web页面中,当其他用户访问受影响的页面时,恶意脚本将在其浏览器上下文中执行,从而窃取用户会话Cookie、劫持用户账户或进行其他恶意操作。该漏洞需要高权限用户配合用户交互才能利用,CVSS评分仅为2.4,属于低危漏洞。攻击者已公开披露相关漏洞信息,建议相关用户及时关注官方修复进展并采取相应的安全防护措施。
该漏洞位于SohuTV CacheCloud的src/main/java/com/sohu/cache/web/controller/TotalManageController.java文件中的doTotalList方法。漏洞产生的根本原因是应用程序在处理用户输入时缺乏适当的输入验证和输出编码。当用户通过Web界面提交包含恶意JavaScript代码的数据时,这些数据未经充分过滤即被存储或回显到页面中。攻击者需要具备高权限账户(如管理员)才能触发该漏洞,且需要诱导其他用户(如管理员)访问包含恶意脚本的页面才能完成攻击。由于该漏洞需要用户交互和社会工程学手段配合利用,实际危害相对有限。修复方案应在doTotalList方法及相关数据处理流程中增加输入验证和HTML实体编码处理,确保用户输入不会被解释为可执行脚本。