关键漏洞信息 CVE编号: CVE-2022-25373 漏洞类型: 存储型跨站脚本(Stored Cross-Site Scripting, XSS) 受影响产品: ManageEngine Support Center Plus 受影响版本: 11.0 Build 11019 修复建议: 升级至11.0 Build 11020或更高版本 漏洞概述 低权限用户(如默认访客用户)能够在新建请求的描述字段中注入任意的JavaScript代码。当高权限用户(包括管理员)查看请求的编辑历史时,该JavaScript代码会在新用户的浏览器上下文中执行,从而导致权限提升或其他从低权限用户到可能更高权限用户的恶意执行。 漏洞利用过程 通过在新建请求的描述字段中插入HTML内容触发漏洞。例子中使用的payload为: 当其他用户(在此示例中为管理员)查看该请求的编辑历史时,JavaScript代码将在新用户的浏览器上下文中执行,如图所示。 披露时间线 2022年2月2日:向Zoho报告漏洞 2022年2月14日:Zoho开始调查报告 2022年2月21日:CVE编号CVE-2022-25373分配给此漏洞 2022年3月22日:Zoho发布修复版本11.0 Build 11020 相关链接 MITRE CVE: CVE-2022-25373 NVD: CVE-2022-25373