CVE-2025-15201CVE-2025-15201是SohuTV CacheCloud存在的一个存储型跨站脚本漏洞。该漏洞位于WebResourceController.java文件中的redirectNoPower函数,由于未对用户输入进行充分的过滤和转义处理,攻击者可以通过构造恶意脚本内容注入到页面中。当其他用户访问包含恶意脚本的页面时,攻击者的JavaScript代码将在受害者浏览器中执行,可能导致会话劫持、敏感信息窃取或钓鱼攻击等安全问题。该漏洞影响CacheCloud 3.2.0及以下所有版本,攻击复杂度低但需要用户交互才能触发。CVSS基础评分3.5,属于低危漏洞级别。漏洞详情已于2025年12月29日公开披露,项目方虽已收到问题报告但尚未发布修复补丁。建议使用该产品的用户及时采取临时缓解措施并关注官方更新。
漏洞存在于SohuTV CacheCloud的WebResourceController.java文件中,具体为redirectNoPower函数。该函数在处理用户请求参数时,直接将用户可控的输入内容输出到HTTP响应中而未进行任何安全过滤。攻击者可以通过URL参数或其他输入渠道注入恶意JavaScript代码,如<script>alert('XSS')</script>或通过事件处理器如<img src=x onerror=alert(1)>等方式触发XSS攻击。由于该漏洞属于存储型XSS(Stored XSS),恶意脚本会被永久存储在服务器端,所有访问相关页面的用户都会受到攻击。攻击者利用此漏洞可窃取用户会话Cookie、劫持用户账号、进行钓鱼攻击或在用户浏览器中执行任意JavaScript代码。漏洞的CVSS向量显示攻击复杂度低(AC:L),但需要低权限用户(PR:L)配合用户交互(UI:R)才能成功利用。