CVE-2025-15505 CVSS 2.4 低危

CVE-2025-15505: Luxul XWR-600 Web管理界面存储型XSS漏洞

披露日期: 2026-01-11

来源: [email protected]

漏洞信息

漏洞编号

CVE-2025-15505

漏洞类型

XSS跨站脚本攻击

CVSS评分

2.4 低危

攻击向量

网络 (AV:N)

认证要求

高权限 (PR:H)

用户交互

需要交互 (UI:R)

影响产品

Luxul XWR-600

漏洞概述

Luxul XWR-600路由器Web管理界面存在存储型跨站脚本漏洞，攻击者可通过Guest Network/Wireless Profile SSID参数注入恶意JavaScript代码。由于该漏洞位于管理界面，需要高权限用户交互才能触发，但存储型XSS可窃取管理员会话cookie或执行特权操作。

技术细节

漏洞源于Web管理界面未对Guest Network/Wireless Profile SSID输入进行充分验证和过滤。攻击者可在SSID字段中嵌入<script>alert('XSS')</script>等恶意代码，该代码被存储在系统配置中。当其他管理员访问相关管理页面时，恶意脚本会在其浏览器上下文中执行，导致会话劫持或敏感信息泄露。

攻击链分析

STEP 1

步骤1

攻击者通过Web管理界面在SSID字段注入XSS payload

STEP 2

步骤2

恶意脚本被存储在系统配置中

STEP 3

步骤3

其他管理员访问管理页面时触发脚本执行

STEP 4

步骤4

攻击者获取管理员会话cookie或执行特权操作

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

影响范围

Luxul XWR-600 <= 4.0.1

防御指南

临时缓解措施

在SSID字段实现严格的输入验证，过滤特殊字符，使用HTML实体编码输出。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2025-15505
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2025-15505
3 Details https://www.cvedetails.com/cve/CVE-2025-15505/
4 VulDB https://vuldb.com/cve/CVE-2025-15505
5 Link https://docs.google.com/document/d/1S2f5lT0b-KE9m6xq8BY6eSixv6SgsGL1e8QQzeOkq5c/
6 Link https://vuldb.com/?ctiid.340435
7 Link https://vuldb.com/?id.340435
8 Link https://vuldb.com/?submit.727924

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表