CVE-2025-41102CVE-2025-41102是Fairsketch公司开发的RISE CRM Framework v3.8.1版本中发现的一个HTML注入漏洞。该漏洞由于应用程序缺乏对用户输入的适当验证和过滤而导致。攻击者可以通过在'/events/save'端点的'title'参数中注入恶意HTML代码,当其他用户查看包含该恶意代码的页面时,可能导致跨站脚本攻击(XSS)或其他客户端攻击。此漏洞的CVSS评分为5.4,属于中等严重程度,攻击向量为网络,攻击复杂度低,但需要低权限用户认证和用户交互。机密性和完整性影响均为低,暂无可用性影响。HTML注入漏洞可能被利用来窃取会话cookie、劫持用户会话、进行钓鱼攻击或植入恶意内容,对使用该CRM系统的企业组织构成一定的安全风险。
该HTML注入漏洞存在于RISE CRM Framework的日程事件管理功能中。具体来说,漏洞出现在'/events/save'端点,该端点负责处理创建和保存事件的POST请求。问题在于应用程序直接接受用户通过'title'参数提交的内容,而没有对其进行适当的输入验证和输出编码。当包含HTML标签或JavaScript代码的恶意字符串被提交到该参数时,这些内容会被存储在数据库中,并在后续页面渲染时未经转义直接输出到HTML中。攻击者只需拥有低权限账户即可利用此漏洞,通过社会工程学手段诱导其他用户(如管理员)访问包含恶意代码的页面,即可触发客户端攻击。由于该漏洞涉及用户输入验证不足,开发团队应实施严格的输入过滤和输出编码机制来防止此类注入攻击。