CVE-2025-40902 CVSS 5.9 中危

CVE-2025-40902 存储型HTML注入漏洞

披露日期: 2026-05-19

来源: [email protected]

漏洞信息

漏洞编号

CVE-2025-40902

漏洞类型

存储型HTML注入

CVSS评分

5.9 中危

攻击向量

网络 (AV:N)

认证要求

高权限 (PR:H)

用户交互

需要交互 (UI:R)

影响产品

Nozomi Networks 产品

漏洞概述

该漏洞是Nozomi Networks产品用户功能处的存储型HTML注入漏洞。因输入验证不当，管理员可创建含HTML标签的恶意用户。当受害者删除包含该用户的组时，注入的HTML会渲染，可能导致钓鱼或开放重定向攻击。

技术细节

该漏洞属于存储型HTML注入，其核心原理在于应用程序对用户可控的输入参数（如用户名）缺乏足够的上下文感知过滤。攻击流程始于一个具有高权限（PR:H）的攻击者，他们利用系统的管理接口，在创建新用户时将精心构造的HTML Payload嵌入到“用户名”字段中。由于缺乏服务端的输出编码，这段恶意代码被持久化存储在数据库中。触发条件发生在受害者尝试执行删除包含该恶意用户的“组”操作时（UI:R）。此时，后端应用从数据库检索数据并直接拼接到HTTP响应中返回给前端。尽管系统部署了内容安全策略（CSP），在一定程度上阻止了完全的JavaScript执行和敏感信息窃取，但攻击者仍可利用基础HTML标签（如伪造的登录表单或恶意链接）实施网络钓鱼攻击或开放重定向，危害用户机密性和完整性。

攻击链分析

STEP 1

获取高级权限

攻击者必须拥有系统管理员权限，以便能够创建新用户。

STEP 2

植入恶意代码

攻击者创建一个新用户，并在用户名字段中输入包含HTML标签的恶意Payload（如钓鱼链接）。

STEP 3

诱导受害者操作

等待或诱导具有删除组权限的受害者（如其他管理员）登录系统。

STEP 4

触发渲染

当受害者尝试删除包含该恶意用户的组时，系统会渲染该用户名，导致恶意HTML在浏览器中显示。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

<!-- Step 1: Attacker creates a user with malicious HTML in the username field -->
<!-- Payload: Phishing Link -->
<a href="http://attacker-controlled-site.com/steal">Verify your account immediately</a>

<!-- Payload: Image Injection -->
<img src="http://attacker-controlled-site.com/track.jpg" />

影响范围

具体受影响版本请参考厂商公告 NN-2026:5-01

防御指南

临时缓解措施

在未打补丁前，管理员应检查系统中是否存在包含HTML标签的异常用户名，并谨慎处理涉及删除用户组的操作。同时，应警惕系统中出现的非官方提示信息，防止遭受钓鱼攻击。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2025-40902
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2025-40902
3 Details https://www.cvedetails.com/cve/CVE-2025-40902/
4 VulDB https://vuldb.com/cve/CVE-2025-40902
5 Link https://security.nozominetworks.com/NN-2026:5-01

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表