CVE-2025-41748CVE-2025-41748是发现于pxc_Dot1xCfg.php文件中的一个存储型跨站脚本(XSS)漏洞。该漏洞允许未认证的远程攻击者通过社会工程学手段,诱骗已认证用户点击恶意链接,从而在用户浏览器中执行任意JavaScript代码。攻击者可借此篡改Web基于管理(WBM)界面中的设备配置参数。由于session cookie设置了httpOnly标志,攻击者无法直接窃取用户会话,但可以通过XSSPayload修改用户可见的配置内容。此漏洞影响仅限于设备配置参数范围内,不提供操作系统级资源或特权功能的访问权限。对于部署了此组件的网络设备,建议及时更新到厂商发布的安全补丁版本。
该漏洞存在于pxc_Dot1xCfg.php的输入验证环节。攻击者构造包含恶意JavaScript代码的请求,当已认证用户访问包含该Payload的页面时,浏览器会执行注入的脚本。攻击者可利用此漏洞修改WBM中的802.1X配置参数,如端口认证设置、用户名密码等。CVSS 3.1评分7.1分,攻击向量为网络层面,无需认证即可发起攻击,但需要用户交互(点击链接)。由于配置参数存储在设备中,攻击具有持久性。防御关键是实现严格的输入过滤和输出编码,建议对所有用户输入使用HTML实体编码,并实施内容安全策略(CSP)。