关键漏洞信息 漏洞概述 CVE ID: CVE-2025-52357 类型: 反射型跨站脚本(XSS) 影响产品: FD602GW-DX-R410 光纤路由器 固件版本: V2.2.14 (Build:1918.241111) 严重性: 中等 漏洞详情 攻击向量: 远程(需要认证用户) 影响: - 以管理员权限执行任意JavaScript代码 - 潜在的会话劫持和凭证窃取 - 可能的权限提升和未经授权的配置更改 证明概念(PoC) 将以下payload注入到ping输入字段并提交: 页面加载时,注入的JavaScript代码执行,表明缺乏输入验证。 推荐措施 实施严格的服务器端输入验证和上下文感知输出编码以防止JavaScript注入。 防止在敏感接口输出中执行任意脚本。 建议供应商尽快发布补丁。 考虑使用内容安全策略(CSP)来缓解XSS影响。 限制管理访问到受信任的IP范围。 教育用户避免默认或弱密码。 攻击向量 需要对路由器管理界面的授权访问。 通过CSRF利用,如果受害者是已认证的管理员且访问了恶意链接。 影响 通过身份验证cookie进行会话劫持。 通过浏览器基于的攻击进行权限提升。 通过注入的JavaScript进行未经授权的路由器配置更改。 当与网络访问和受害者交互结合时,存在CSRF风险。 披露时间线 2025年6月: 漏洞发现 2025年6月: 尝试负责任地向供应商披露(无响应) 2025年7月9日: CVE-2025-52357由MITRE分配 2025年7月10日: 公开发布咨询