CVE-2025-61314 漏洞总结 漏洞概述 漏洞类型:存储型跨站脚本攻击 (Stored XSS) 漏洞编号:CVE-2025-61314 CWE 编号:CWE-79 风险等级:高危 (CVSS 3.1: 7.3) 描述:在 组件中存在存储型 XSS 漏洞。由于对用户可控输入在嵌入到动态生成的网页之前未进行适当的中和处理,经过身份验证的攻击者可以注入任意 JavaScript 代码。这些代码被应用程序存储,并在其他用户的浏览器中不安全地渲染。 影响范围 受影响产品:docuForm FSM Server 受影响版本:11.11c 潜在后果:攻击者可以利用此漏洞在应用程序的数据存储中注入并存储恶意脚本。当受影响页面被渲染时,这些脚本将在其他用户的会话上下文中执行。成功的利用可能导致敏感会话标识符或个人用户信息的窃取,从而导致未经授权的账户接管、代表受害者执行非预期操作或修改应用程序。 修复方案 修复状态:厂商已确认漏洞并发布修复补丁。 修复时间:2025年11月。 厂商官网:www.docuform.de 时间线 2025-10:向厂商报告漏洞。 2025-11:厂商发布修复补丁。 2025-04:公开漏洞信息。 参考链接 National Vulnerability Database CVE-2025-61314 ZeroBreach GmbH - CVE-2025-61314