关键信息 漏洞描述 类型: XSS (跨站脚本) 漏洞 CWE: CWE-80 (Basic XSS) 影响: 未经授权的攻击者可以通过构造的URL在FortiADC虚拟服务器的默认错误页面上执行恶意代码。 受影响版本及解决方案 工作around 不使用"waf_deny.html"错误页面,或自定义它以移除"error-info"类或将该类更改为标准硬编码消息。 漏洞公开的其他信息 识别号: FG-IR-25-736 公开日期: 2025年11月18日 组件: GUI 严重性: 中等 (CVSSv3分数: 4.2) 影响: 可执行未经授权的代码或命令 CVE ID: CVE-2025-58412 致谢 感谢来自ACN的Lorenzo Zarfati报告该漏洞。 参考链接 FortiADC配置错误页面指南