CVE-2025-34265 CVSS 5.4 中危

CVE-2025-34265 Advantech WISE-DeviceOn Server 存储型XSS漏洞

披露日期: 2025-12-05

来源: [email protected]

漏洞信息

漏洞编号

CVE-2025-34265

漏洞类型

存储型XSS

CVSS评分

5.4 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

需要交互 (UI:R)

影响产品

Advantech WISE-DeviceOn Server

漏洞概述

Advantech WISE-DeviceOn Server 5.4之前版本在/rmm/v1/rule-engines端点存在存储型跨站脚本(XSS)漏洞。攻击者通过在规则的min、max、unit字段中注入恶意脚本来利用此漏洞。当其他用户查看或交互受影响的规则时，这些恶意脚本会在其浏览器上下文中执行，可能导致会话劫持和未授权操作。

技术细节

该漏洞源于输入验证不足。攻击者通过API端点提交包含JavaScript代码的规则字段，系统未进行适当的HTML转义即存储了该数据。后续用户访问规则列表或详情页时，恶意脚本被执行。

攻击链分析

STEP 1

攻击者通过API端点注入恶意脚本

STEP 2

系统存储未转义的用户输入

STEP 3

受害者访问规则页面触发XSS

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

POST /rmm/v1/rule-engines
{"min":"<script>alert(document.cookie)</script>","max":"","unit":""}

影响范围

Advantech WISE-DeviceOn Server < 5.4

防御指南

临时缓解措施

在存储用户输入前进行HTML转义，避免直接输出未处理的数据

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表