CVE-2025-40899 CVSS 8.9 高危

CVE-2025-40899 资产与节点功能存储型XSS漏洞

披露日期: 2026-04-15

来源: [email protected]

漏洞信息

漏洞编号

CVE-2025-40899

漏洞类型

存储型跨站脚本攻击

CVSS评分

8.9 高危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

需要交互 (UI:R)

影响产品

Nozomi Networks 产品, Siemens 产品

漏洞概述

该漏洞存在于Nozomi Networks相关产品的资产与节点功能中，属于存储型跨站脚本漏洞。由于系统对输入参数验证不充分，拥有自定义字段权限的认证用户可注入恶意JavaScript载荷。当受害者查看相关页面时，恶意脚本将在其浏览器中执行，允许攻击者模拟受害者身份进行未授权操作，如篡改数据、破坏服务或窃取敏感信息。

技术细节

该漏洞源于资产与节点功能中未正确过滤自定义字段的输入参数。攻击者首先需要获得一个具有自定义字段操作权限的低权限账户。利用该权限，攻击者在创建或编辑自定义字段时，将恶意JavaScript代码（如XSS Payload）注入到字段值中。系统随后将此未经过滤的数据存储在后端数据库中。当具有更高权限的受害者（如管理员）访问包含该恶意字段的资产或节点页面时，Web应用会直接从数据库读取并渲染该数据，导致受害者的浏览器解析并执行攻击者的脚本。由于CVSS向量显示Scope Changed (S:C)，该漏洞可能绕过浏览器的部分安全限制，使得攻击者能够窃取Session ID、进行钓鱼攻击或执行任意管理操作，严重威胁系统的机密性、完整性和可用性。

攻击链分析

STEP 1

1. 获取权限

攻击者注册或获取一个具有低权限且拥有自定义字段操作权限的账户。

STEP 2

2. 注入载荷

攻击者在自定义字段定义功能中，输入包含恶意JavaScript代码的载荷，系统未进行有效过滤直接存储。

STEP 3

3. 诱导访问

攻击者等待或诱导拥有更高权限的受害者（如管理员）查看包含该恶意字段的资产或节点页面。

STEP 4

4. 执行攻击

受害者的浏览器渲染页面时解析恶意脚本，在受害者上下文中执行代码，窃取凭证或执行恶意操作。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

<!--
PoC Concept for Stored XSS in Custom Fields
Attacker sends a POST request to inject payload via custom field API.
-->
<script>
  // Simulating an attacker's request to create a malicious custom field
  const payload = '<img src=x onerror=alert(1)>';
  
  fetch('/api/assets/custom_fields', {
    method: 'POST',
    headers: {
      'Content-Type': 'application/json',
      'Authorization': 'Bearer <attacker_token>'
    },
    body: JSON.stringify({
      field_name: 'Malicious Field',
      field_value: payload // The unfiltered input is stored here
    })
  });
  // Trigger: When a victim views the Assets/Nodes page, the alert executes.
</script>

影响范围

参考公告 NN-2026:2-01

参考公告 SSA-827968

防御指南

临时缓解措施

在未升级补丁前，严格限制“自定义字段”功能的访问权限，仅授予必要的管理员账户；并建议用户在查看资产列表时保持警惕，避免点击可疑链接。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表