CVE-2026-29513CVE-2026-29513是Hereta ETH-IMC408M工业通信设备固件中的一个存储型跨站脚本(Stored XSS)漏洞。该漏洞存在于1.0.15及之前版本中,攻击者通过在设备的"Device Location"(设备位置)字段注入恶意JavaScript代码。由于该字段内容会在System Status(系统状态)界面中展示给所有用户,恶意脚本会被永久存储在设备中。当其他用户访问系统状态页面时,注入的恶意代码会在其浏览器中执行,可能导致会话劫持、敏感信息窃取或进一步的社会工程攻击。此漏洞需要低权限认证账户即可利用,但需要用户交互(访问状态页面)才能触发。由于是工业设备,攻击成功可能影响生产网络的监控和管理安全。
该存储型XSS漏洞的根本原因是Hereta ETH-IMC408M固件在处理"Device Location"字段输入时缺乏适当的输入验证和输出编码。攻击者以低权限账户登录设备管理界面后,可将精心构造的XSS payload写入设备位置字段。由于系统未对特殊字符进行过滤或转义,恶意JavaScript代码被原样存储在设备配置中。当管理员或运维人员访问System Status界面查看设备状态时,存储的payload会作为页面内容的一部分被浏览器解析执行。攻击者可利用此漏洞窃取受害者的认证cookie、劫持会话、执行任意客户端操作或诱导用户进行非预期操作。CVSS 3.1评分5.4反映了该漏洞需要认证且需要用户交互才能触发的特点,但网络可达性和窃取敏感信息的能力使其仍具有一定的安全风险。