CVE-2025-2204CVE-2025-2204是Tap&Sign软件中的一个存储型跨站脚本(Stored XSS)漏洞,CVSS评分为4.7(中危)。该漏洞由于应用程序在生成Web页面时未对用户输入进行适当的过滤和转义,导致攻击者可以在Web页面中注入恶意JavaScript代码。当其他用户访问包含恶意脚本的页面时,攻击脚本将在受害者浏览器中执行,可能导致会话劫持、敏感信息窃取、钓鱼攻击等安全风险。Tap&Sign是一款数字化签名软件,广泛应用于电子合同签署和文档管理场景。由于该漏洞需要高权限用户才能触发,且影响版本为截至2026年1月23日的所有版本,厂商尚未做出回应修复此问题。
该漏洞属于存储型XSS(Stored XSS)漏洞,攻击向量为网络攻击,复杂度低。攻击者需要具备高权限(如管理员或高级用户权限)才能在Tap&Sign的输入字段中注入恶意脚本代码。由于应用程序未对用户输入进行充分的输入验证和输出编码,恶意脚本被永久存储在服务器端。当其他用户访问受污染的页面时,恶意代码会随页面内容一同返回并在受害者浏览器中执行。攻击者可利用此漏洞窃取用户会话Cookie、劫持用户账号、进行钓鱼攻击或传播恶意软件。由于该漏洞存在于Web应用生成页面的过程中,属于经典的Web应用安全缺陷,OWASP将其列为最常见的Web应用安全风险之一。攻击者通常会构造包含<script>标签或事件处理器(如onerror、onload)的恶意 payload来触发漏洞。