CVE-2025-15479CVE-2025-15479是Data Illusion Zumbrunn NGSurvey Enterprise Edition中发现的安全漏洞,属于存储型跨站脚本(XSS)问题。该漏洞存在于调查内容和调查管理功能中,影响版本3.6.4。攻击者可通过创建或编辑调查时插入恶意脚本来利用此漏洞。当其他用户访问包含恶意内容的调查时,脚本将在其浏览器中执行,可能导致会话信息泄露、冒充用户执行未授权操作等严重后果。漏洞CVSS评分为5.4,属于中等严重程度。
该漏洞源于NGSurvey应用程序在处理用户提交的调查内容时缺乏适当的输入验证和输出编码。攻击者作为具有调查创建或编辑权限的已认证用户,可在调查字段中嵌入JavaScript代码。由于应用程序将这些恶意内容存储在数据库中并在后续页面访问时直接呈现给其他用户,形成了存储型XSS攻击链。受害者浏览器会执行这些恶意脚本,攻击者可借此窃取cookie、会话令牌或执行其他客户端攻击。