CVE-2026-44924Veritas InfoScale VIOM 9.1.3版本中被发现存在跨站脚本(XSS)安全漏洞。该漏洞源于Web应用程序未能对用户提交的输入数据进行充分的安全过滤与验证。攻击者可利用此缺陷,诱导经过身份认证的用户访问包含恶意脚本的特定页面。一旦用户交互触发,恶意脚本将在其浏览器环境中执行,进而可能导致敏感信息泄露、会话劫持或未授权操作,对系统机密性和完整性构成威胁。
该漏洞主要影响Veritas InfoScale VIOM的Web管理组件,属于典型的存储型或反射型跨站脚本漏洞。根据CVSS 3.1评分向量分析,攻击复杂度为低(AC:L),且需要低权限用户(PR:L)进行交互(UI:R),表明漏洞利用门槛相对较低,但需要一定的社会工程学手段触达受害者。在技术实现上,攻击者会寻找VIOM系统中未经过滤的参数,如搜索框、表单字段或URL参数。通过插入诸如 `<img src=x onerror=alert(1)>` 或 `<script>` 等恶意代码,后端服务器将其直接存储或反射回前端页面而未进行HTML实体编码。当受害者访问该页面时,浏览器将恶意代码解析为可执行指令。由于作用域为Changed(S:C),攻击者可能利用此漏洞访问同源下的其他敏感数据,甚至通过XSS代理发起更复杂的内网探测。