CVE-2025-40890CVE-2025-40890是Nozomi Networks产品中发现的一个高危存储型跨站脚本(Stored XSS)漏洞,CVSS评分7.9分。该漏洞存在于产品的Dashboards(仪表板)功能中,由于对输入参数缺乏适当的验证和过滤,攻击者可以在仪表板中注入恶意JavaScript代码。由于存储型XSS的特性,恶意脚本会被永久保存在服务器端,所有访问该仪表板的用户都会触发恶意代码。攻击者利用此漏洞可窃取用户会话令牌、修改应用数据、执行未授权操作,甚至可能获取受害者的敏感信息。漏洞影响产品的机密性、完整性和可用性,建议受影响的用户尽快更新到安全版本并实施严格的输入验证机制。
该漏洞是由于Dashboards功能对用户输入的仪表板参数缺乏严格的输入验证和输出编码导致的。攻击者(即使是低权限的认证用户)可以在创建或编辑仪表板时,在特定输入字段中注入恶意JavaScript代码(如<script>alert(document.cookie)</script>)。由于系统未对输入进行适当的HTML实体编码,这些恶意脚本会被存储在数据库中。当其他用户查看该仪表板或导入该仪表板模板时,浏览器会正常解析并执行这些恶意脚本。攻击者可以通过XSS窃取用户的认证Cookie、会话令牌,或者通过社工手段诱使受害者导入包含恶意代码的仪表板模板。一旦脚本执行,攻击者可以代表受害者执行任意操作,包括修改应用配置、访问敏感数据或中断服务。攻击复杂度较低,但需要用户交互(查看或导入仪表板),因此攻击者通常需要结合社会工程学技术。