CVE-2025-41745CVE-2025-41745是一个存在于pxc_portCntr2.php文件中的存储型跨站脚本攻击(XSS)漏洞。该漏洞影响支持Web管理的网络设备,允许未经认证的远程攻击者通过社会工程学手段诱导已认证用户发送恶意构造的POST请求,从而在受害者的浏览器会话中执行任意JavaScript代码。攻击者利用此漏洞可以窃取用户会话信息、修改设备配置参数或进行其他恶意操作。虽然漏洞不提供系统级资源访问权限,但攻击者可利用其在Web应用上下文中修改设备配置参数,对网络安全构成严重威胁。CVSS评分7.1,属于高危漏洞。
漏洞根源在于pxc_portCntr2.php脚本对用户输入缺乏充分的输入验证和输出编码。攻击者可以通过在POST请求参数中注入恶意JavaScript代码,当已认证用户访问或触发相关功能时,浏览器会执行这些恶意脚本。由于session cookie设置了httpOnly标志,攻击者无法直接窃取会话cookie,但可以通过XSS漏洞获取其他敏感信息或进行进一步攻击。攻击者需要诱导已认证用户访问恶意链接或提交恶意请求,利用用户交互(UI:R)完成攻击链。攻击范围限于Web应用上下文中的设备配置参数,无法访问操作系统底层资源或执行特权操作。