CVE-2025-62857CVE-2025-62857是影响QNAP QuMagie应用的跨站脚本(XSS)漏洞,CVSS评分为6.1,属于中危级别。该漏洞允许远程攻击者通过构造恶意脚本内容,利用QuMagie应用在处理用户输入或展示内容时的安全机制缺陷,注入并执行任意JavaScript代码。攻击成功后,攻击者可窃取用户会话cookie、劫持用户账户、绕过同源策略读取敏感数据,或对应用界面进行篡改诱导用户执行恶意操作。由于该漏洞通过网络发起且无需认证即可利用,但需要诱导用户进行交互(如点击链接或访问特定页面),因此攻击复杂度较低。QNAP已于QuMagie 2.8.1版本中修复此漏洞,建议用户尽快升级至最新版本以消除安全风险。
该XSS漏洞存在于QuMagie应用的内容处理模块中。当应用处理用户上传的图片元数据、文件名或通过API传入的参数时,未对特殊字符进行充分的输入验证和输出编码。攻击者可构造包含JavaScript代码的恶意输入(如在图片描述、标签或文件名中嵌入<script>标签或事件处理器如onerror、onload等),当其他用户浏览这些内容时,恶意脚本将在其浏览器上下文中执行。由于QuMagie是QNAP NAS设备上的照片管理应用,处理大量用户生成的多媒体内容,因此漏洞影响范围较广。攻击者可通过社工手段诱导管理员或普通用户访问特定相册或图片,触发恶意脚本执行,进而获取存储在浏览器中的认证凭据或执行其他恶意操作。修复后的版本在输入阶段增加了过滤机制,在输出阶段进行了正确的HTML实体编码,从而有效防止脚本注入和执行。