关键信息 漏洞概述 CVE编号: CVE-2025-9145 类型: 储存型XSS漏洞,通过SVG文件上传绕过实现。 影响: Scada-LTS系统中的 参数的 参数。 技术细节 易受攻击的端点: 受影响参数: 触发页面: Payload示例 概念验证(PoC) 1. 将payload保存为 。 2. 访问 。 3. 点击“computer +”图标创建新视图。 4. 选择“Escollir arxiu”并上传 。 5. 文件上传后点击“Save”。 6. 导航到上传文件路径 。 影响 实现跨站脚本攻击(XSS)。 安装恶意软件。 盗取浏览器中存储的凭证。 重定向用户至恶意网站。 破坏应用程序功能。 破坏原始数据表示。 官方来源 CVE-2025-9145 on CVE.org Valid Entry 结论 绕过上传限制使用SVG文件是一种已知的XSS向量,但仍然经常被低估。CVE-2025-9145展示了看似无害的图像上传如何变成持久的XSS威胁。 致谢 发现者: Karina Gante 成员: CVE-Hunters