https://blog.qife122.com/tags/%E6%97%A5%E7%AB%8B/ Recent content in 日立 on 办公AI智能小助手 Hugo zh-cn qife Sun, 28 Dec 2025 11:33:47 +0800 https://blog.qife122.com/p/cve-2025-66444%E6%97%A5%E7%AB%8B%E5%9F%BA%E7%A1%80%E8%AE%BE%E6%96%BD%E5%88%86%E6%9E%90%E9%A1%BE%E9%97%AE%E4%B8%AD%E7%9A%84%E9%AB%98%E5%8D%B1%E8%B7%A8%E7%AB%99%E8%84%9A%E6%9C%ACxss%E6%BC%8F%E6%B4%9E%E6%8A%80%E6%9C%AF%E5%88%86%E6%9E%90/ Sun, 28 Dec 2025 11:33:47 +0800 https://blog.qife122.com/p/cve-2025-66444%E6%97%A5%E7%AB%8B%E5%9F%BA%E7%A1%80%E8%AE%BE%E6%96%BD%E5%88%86%E6%9E%90%E9%A1%BE%E9%97%AE%E4%B8%AD%E7%9A%84%E9%AB%98%E5%8D%B1%E8%B7%A8%E7%AB%99%E8%84%9A%E6%9C%ACxss%E6%BC%8F%E6%B4%9E%E6%8A%80%E6%9C%AF%E5%88%86%E6%9E%90/ <h1 id="cve-2025-66444-cwe-79-网页生成期间输入中和不当xss或跨站脚本于日立日立基础设施分析顾问">CVE-2025-66444: CWE-79 网页生成期间输入中和不当（XSS或‘跨站脚本’）于日立日立基础设施分析顾问</h1> <p><strong>严重性：高</strong> <strong>类型：漏洞</strong></p> <h2 id="cve-2025-66444">CVE-2025-66444</h2> <p>CVE-2025-66444 是一个高危的跨站脚本（XSS）漏洞，影响 11.0.5-00 之前版本的日立基础设施分析顾问（Hitachi Infrastructure Analytics Advisor）和日立运维中心分析器（Hitachi Ops Center Analyzer）。该缺陷源于网页生成期间对输入的“中和不当”，允许拥有低权限并需要用户交互的攻击者在受害者浏览器中执行恶意脚本。利用此漏洞可导致高机密性影响，包括数据窃取或会话劫持，而对完整性和可用性的影响有限。目前尚未报告有已知的在野利用。使用这些日立产品进行数据中心分析的欧洲组织面临风险，特别是在日立基础设施部署较多的国家。缓解措施需要应用供应商提供的补丁（一旦可用），并实施严格的输入验证和内容安全策略。该漏洞的CVSS评分为8.2，反映了其因网络攻击向量和范围变更而导致的高风险。</p>