CVE-2025-41768CVE-2025-41768是发现于2026年1月20日的跨站脚本(XSS)安全漏洞,CVSS评分为5.5(中等严重级别)。该漏洞允许具有高权限的远程攻击者在受影响设备的自定义CSS字段中注入任意内容。由于系统在网页生成过程中对用户输入的净化处理不当,攻击者可以利用此漏洞在受害者的浏览器会话中执行恶意脚本代码。此类漏洞虽然需要认证权限才能利用,但一旦成功,攻击者可以窃取会话Cookie、劫持用户账户或进行其他恶意操作。建议受影响产品的管理员尽快应用官方发布的安全更新。
该漏洞属于存储型XSS(Stored XSS)类型,存在于设备的Web管理界面自定义CSS字段功能中。攻击流程如下:1)攻击者以高权限用户身份登录设备管理界面;2)在自定义CSS设置功能中注入恶意JavaScript代码,如<svg/onload=alert(document.cookie)>;3)当其他用户访问相关页面时,恶意代码会被浏览器作为合法内容解析执行。由于CSS字段的输入未经过充分的输入验证和输出编码,攻击者可以在受害者浏览器上下文中执行任意脚本代码,进而实现会话劫持、敏感信息窃取等恶意操作。漏洞的CVSS向量显示攻击复杂度低、无需用户交互,但需要高权限认证。