CVE-2025-66421CVE-2025-66421是Tryton ERP系统前端组件Tryton sao中的一个存储型跨站脚本(Stored XSS)漏洞。该漏洞存在于自动补全(completion)功能中,由于程序在显示自动补全建议值时未对用户输入进行充分的HTML转义处理,导致攻击者可以在自动补全字段中注入恶意JavaScript代码。当其他用户触发自动补全功能或查看包含恶意数据的记录时,注入的脚本代码将在受害者浏览器中执行,可能导致会话劫持、敏感信息窃取、钓鱼攻击等安全问题。该漏洞影响多个版本的Tryton sao,CVSS评分为5.4(中危),攻击复杂度低,但需要低权限用户参与,且需要用户交互才能触发。
该漏洞的根本原因在于Tryton sao的自动补全组件在渲染下拉建议列表时,直接将后端返回的completion值插入到HTML文档中,而没有进行HTML实体转义。自动补全功能通常用于提供输入建议,如客户名称、产品代码等字段的快速填充。当攻击者在这些字段中提交包含<script>标签或事件处理器(如onerror、onload等)的恶意数据时,这些数据会被存储在后端数据库中。当其他用户访问相关功能模块并触发自动补全时,恶意代码会被渲染到页面中并在用户浏览器执行。攻击者可利用此漏洞窃取用户Cookie、劫持会话、执行未经授权的操作,或进行进一步的社会工程攻击。修复版本已在7.6.11、7.4.21、7.0.40和6.0.69中发布,修复方式是在显示自动补全值时添加HTML转义处理。