关键信息 漏洞概述 公告编号: SA-N0150 Ed. 02 产品: OmniAccess Stellar WLAN APs 影响版本: AWOS 5.0.2GA及更早版本 修复版本: AWOS 5.0.2MR 参考信息 CVE编号: CVE-2025-52687, CVE-2025-52687, CVE-2025-52689, CVE-2025-52690 日期: 2025年7月10日 风险等级: 严重 影响: 控制接管、执行任意代码、机密性泄露 攻击复杂度: 技术熟练、远程、无需账户、无需用户交互 CVSS评分: 9.8 受影响产品: OmniAccess Stellar Access Point Families - AP1100, AP1200, AP1300, AP1400, AP1500 漏洞描述 JavaScript注入漏洞: 在OmniAccess Stellar Web管理界面中,由于对通过WebUI输入的文本字段检查不当,允许具有管理员凭据的攻击者在Web流量的有效载荷中注入JavaScript。当其他用户访问受影响的网页时,脚本将被发送到他们的浏览器并在其会话上下文中执行,可能导致会话劫持、拒绝服务(DoS)和其他攻击。 严重性: 低 攻击类型: 网络 CVSS 3.1基础分数: 2.4 CVSS向量: CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:U/C:N/I:L/A:N 发现者: 新加坡网络安全局的研究人员Jay Turla、Japz Divino和Jerold Camacho 解决方法: 升级到AWOS 5.0.2MR1