CVE-2025-40904该漏洞是Nozomi Networks产品Smart Polling功能中发现的一个存储型HTML注入漏洞。由于系统对输入参数验证不当,拥有有限权限的已认证攻击者可以通过同步功能推送包含HTML标签的恶意远程策略。当受害者在Smart Polling功能中查看受影响的远程策略时,注入的HTML代码将在其浏览器中渲染。这可能导致网络钓鱼攻击或开放重定向攻击。尽管现有的输入验证和内容安全策略(CSP)配置在一定程度上阻止了完整的XSS利用和直接的信息泄露,但该漏洞仍对用户构成安全风险。
该漏洞源于Smart Polling功能在处理远程策略数据时,未能对特定输入参数进行严格的HTML标签过滤。攻击者利用低权限账户登录系统后,构造包含恶意HTML标签的Payload,并通过系统同步接口将其作为“远程策略”上传至服务器。由于是存储型注入,恶意代码被持久化存储在数据库中。当具有访问权限的其他用户(受害者)访问Smart Polling界面并加载该策略时,服务器会直接返回未经充分净化的HTML内容,导致受害者的浏览器解析并执行这些标签。虽然CSP策略限制了脚本执行,防止了直接的JavaScript代码执行(即完全的XSS),但攻击者仍可利用HTML标签(如iframe、meta refresh或伪造的链接)进行钓鱼页面植入或URL跳转,诱导用户泄露凭证或访问恶意站点。此漏洞利用了Web应用对信任用户输入的假设,结合了权限提升(利用低权限账户影响高权限用户)和客户端渲染的特性。