关键信息 漏洞名称: Advantech WISE-DeviceOn Server < 5.4 Authenticated Stored XSS via dog/{agentId} 严重性: Medium 日期: December 5, 2025 CVE 编号: CVE-2025-34264 CWE 编号: CWE-79 Improper Neutralization of Input During Web Page Generation (XSS or 'Cross-site Scripting') CVSS V4 向量: CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:P/VC:L/VI:L/VA:N/SC:L/SI:L/SA:N 参考链接: - Advantech Security Advisory - DeviceOn Software Download 信誉: Alex Williams from Pellerla Technologies 描述: Advantech WISE-DeviceOn Server 版本低于 5.4 存在一个存储型跨站脚本(XSS)漏洞,在 /rmm/v1/dog/{agentId} 末点。当认证用户添加或编辑 Software Watchdog 进程规则时,被监控的进程名称存储在设置数组中,然后在 Software Watchdog UI 中渲染,而没有适当的 HTML 桑柏化。攻击者可以将恶意脚本注入到进程名称中,然后在查看或与受影响规则互动的用户的浏览器上下文中执行,可能导致会话劫持和未经授权的动作作为受害者。