以下是从该网页截图中获取到的关键漏洞信息,使用简洁的Markdown格式呈现: 漏洞摘要 标题: Cross-Site Scripting vulnerability with Device Name when editing Graphs whilst managing Reports CVE ID: CVE-2023-39511 识别时间: 2023年9月6日 漏洞影响的包: cacti 影响版本: <1.2.25 修复版本: 1.2.25, 1.3.0 漏洞描述 存在一种存储型跨站脚本(XSS)漏洞,允许认证用户在cacti数据库中篡改存储的数据。该数据在管理时会由有权限的cacti账户查看,并在查看时在受害者的浏览器中执行JavaScript代码。 技术细节 攻击向量: 网络 攻击复杂度: 低 所需权限: 高 用户交互: 必须 范围: 不变 机密性影响: 高 完整性影响: 高 可用性影响: 无 CVSS评分: 6.1 PoC 影响 成功发起存储型XSS攻击后,攻击者能在受害者浏览器中执行恶意JavaScript代码,从而可能: 实现受害者账户接管; 以受害者身份执行任意操作; 重定向用户至恶意网页; 请求敏感信息; 运行浏览器相关漏洞和攻击; 参与DDoS攻击。 解决方案 在渲染用户输入信息之前,应确保该信息要么成为一个文本元素,要么通过转义处理(如使用HTML实体)内容,以确保最终的输出中恶意代码块不被识别为可执行的代码。