关键漏洞信息 漏洞概述 漏洞名称: Reflected Cross-Site Scripting (XSS) CVE编号: CVE-2025-61427 受影响产品: BEO Atlas Einfuhr-Ausfuhr 3.0 发现者: Lennard Kießling 披露状态: Patch veröffentlicht (Responsible Disclosure) 漏洞细节 影响范围: - 受影响版本: BEO Atlas Einfuhr-Ausfuhr 3.0 Build/Release 20250328 (截至 2025年8月5日) - 修复: 2025年8月19日发布补丁 技术描述 漏洞位置: 登录组件 问题描述: 登录组件中存在未充分转义/验证的参数 和 ,攻击者可以通过构造特定URL来执行任意JavaScript代码。 攻击场景: 1. 攻击者构造包含恶意脚本的URL。 2. 用户点击恶意链接。 3. 浏览器加载页面并执行脚本,可能导致会话劫持、页面篡改等。 漏洞发现过程 目录扫描: 确定所有可公开访问的路径。 选择测试页面: 选择设计“旧”且可能是自定义开发的页面进行测试。 初步测试: 检查输入字段是否存在SQL注入、XSS等问题。 反射XSS测试: 确认URL参数直接反射到DOM中,允许XSS攻击。 报告与修复: 通知厂商并发布补丁。 时间线 漏洞发现: 在授权评估期间(内部记录) 厂商通知: 验证后立即通知 补丁发布: 2025年8月19日 CVE分配: CVE-2025-61427 公开描述: 2025年10月31日 结论 即使应用仅在内部使用,特定条件下也可能被外部访问,因此需要对潜在外部访问点进行安全测试。