CVE-2025-66036Retro是一个在线复古收藏品平台,提供复古收藏品的在线展示和交易服务。该平台在2.4.7版本之前存在一处存储型跨站脚本(XSS)漏洞,漏洞位于输入处理组件中。攻击者可以通过在用户输入字段中注入恶意JavaScript代码,当其他用户访问包含该恶意代码的页面时,攻击脚本将在受害者浏览器中执行。这可能导致窃取用户会话Cookie、劫持用户账户、进行钓鱼攻击或传播恶意内容。由于该漏洞需要用户交互才能触发,攻击复杂度相对较高,但仍对平台用户构成安全威胁。
该漏洞是典型的存储型XSS漏洞,存在于Retro平台的输入处理组件中。攻击者利用该漏洞的方式是:在平台的用户输入字段(如评论、描述、名称等)中注入恶意JavaScript代码。由于系统未对用户输入进行充分的输入验证和输出编码,这些恶意代码会被永久存储在服务器端。当其他用户访问显示该内容的页面时,恶意脚本会在其浏览器上下文中执行。攻击者可借此窃取用户的认证令牌、会话ID或其他敏感信息,进而劫持用户账户。由于CVSS向量显示需要用户交互(UI:R),攻击者通常需要诱导受害者访问特定页面或点击特定链接来触发漏洞利用。