关键信息 漏洞类型 Stored XSS 影响版本 <1.8.178 修复版本 1.8.178 严重性 中等 CVSS v4 基本指标:4.6 / 10 CWE ID CWE-79: 不当的输入中和在Web页面生成期间(跨站脚本) CVE ID CVE-2025-48484 描述 应用程序由于不正确的用户输入验证和清理,易受跨站脚本(XSS)攻击。攻击者可以注入任意HTML代码,包括JavaScript脚本,到由用户浏览器处理的页面中,允许他们窃取敏感数据、劫持用户会话或进行其他恶意活动。 漏洞场景 利用条件 需要授权用户。CSP应被禁用——可能通过利用漏洞1.2。 缓解措施 输入验证和清理:所有用户提供的用于生成浏览器处理的网页的数据,包括HTTP请求头(如User-Agent、Referer),必须经过初步转换以防止潜在的安全漏洞。 使用 函数进行此目的。 采用自动输入验证和过滤框架。 在Web应用程序代码中转义不受信任的数据。 避免使用潜在可被攻击者利用的DOM对象。 启用内容安全策略(CSP)。 配置带有secure和HttpOnly标志的会话cookie。 返回文件时使用正确的MIME类型或使用Content-Disposition:attachment和Content-Type:application/octet-stream强制下载。 研究 研究人员发现FreeScout中的零日漏洞“Stored XSS”。 最初,电子邮件将被编辑,并将以下代码合并到其中: 接下来,将传输一个请求,在客户端实现字符过滤机制,将 和 替换为 和 。 列出具有标签字符过滤的HTTP请求。