CVE-2025-12869 - aEnrich｜eHRD - 存储型跨站脚本攻击

概述

aEnrich开发的a+HRD系统存在一个存储型跨站脚本（Stored Cross-Site Scripting）漏洞。该漏洞允许拥有管理员权限的远程攻击者注入持久性的JavaScript代码，这些代码在用户浏览器加载页面时被执行。

以下产品受到CVE-2025-12869漏洞的影响。即使cvefeed.io知晓受影响产品的确切版本，下表也未显示该信息。

通用漏洞评分系统（CVSS）是一个用于评估软件和系统中漏洞严重程度的标准化框架。我们收集并显示每个CVE来自不同来源的CVSS分数。

分数	版本	严重性	可利用性分数	影响分数	来源
4.8	CVSS 3.1	中危			cded6c7f-6ce5-4948-8f87-aa7a3bbb6b0e
4.8	CVSS 3.1	中危	1.7	2.7	twcert@cert.org.tw
4.8	CVSS 3.1	中危	1.7	2.7	MITRE-CVE
4.8	CVSS 4.0	中危			cded6c7f-6ce5-4948-8f87-aa7a3bbb6b0e
4.8	CVSS 4.0	中危			twcert@cert.org.tw

通过清理用户输入和编码输出来修复存储型跨站脚本攻击。

此处提供了一个精心策划的外部链接列表，提供与CVE-2025-12869相关的深入信息、实用解决方案和有价值的工具。

URL	资源
https://www.twcert.org.tw/en/cp-139-10487-12a32-2.html
https://www.twcert.org.tw/tw/cp-132-10486-a3459-1.html

CVE标识特定的漏洞实例，而CWE则对可能导致漏洞的常见缺陷或弱点进行分类。CVE-2025-12869与以下CWE相关：

常见攻击模式枚举和分类 (CAPEC) 存储了攻击模式，这些模式描述了对手利用CVE-2025-12869弱点所采用的常见属性和方法。

漏洞历史记录详细信息有助于理解漏洞的演变，并识别可能影响漏洞严重性、可利用性或其他特征的最新更改。

新CVE接收 由 twcert@cert.org.tw 于 2025年11月12日

操作	类型	新值
添加	描述	aEnrich开发的a+HRD存在存储型跨站脚本漏洞，允许具有管理员权限的远程攻击者注入持久性JavaScript代码，这些代码在用户浏览器加载页面时执行。
添加	CVSS V4.0	AV:N/AC:L/AT:N/PR:H/UI:P/VC:N/VI:N/VA:N/SC:L/SI:L/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X
添加	CVSS V3.1	AV:N/AC:L/PR:H/UI:R/S:C/C:L/I:L/A:N
添加	CWE	CWE-79
添加	参考	https://www.twcert.org.tw/en/cp-139-10487-12a32-2.html
添加	参考	https://www.twcert.org.tw/tw/cp-132-10486-a3459-1.html

基础CVSS分数：4.8
- 攻击向量：网络
- 攻击复杂度：低
- 攻击前提：无
- 所需权限：高
- 用户交互：被动
- 漏洞对机密性的影响：无
- 漏洞对完整性的影响：无
- 漏洞对可用性的影响：无
- 后续影响对机密性的影响：低
- 后续影响对完整性的影响：低
- 后续影响对可用性的影响：无

基础CVSS分数：4.8
- 攻击向量：网络
- 攻击复杂度：低
- 所需权限：高
- 用户交互：必需
- 范围：已更改
- 机密性影响：低
- 完整性影响：低
- 可用性影响：无