CVE-2025-46410 — 神龙十问 AI 深度分析摘要

🚨 **本质**：WWBN AVideo 存在 **XSS（跨站脚本）** 漏洞。 💥 **后果**：攻击者可注入并执行 **任意 JavaScript 代码**，严重危害用户浏览器安全。

🔍 **CWE**：CWE-79（跨站脚本）。 📍 **缺陷点**：`PlaylistOwnerUsersId` 参数未对用户输入进行充分过滤或转义，导致恶意脚本注入。

🎯 **受影响产品**：WWBN AVideo。 📦 **具体版本**：**14.4 版本**。 🏢 **厂商**：WWBN。

🕵️ **黑客能力**： - 窃取 **Cookie/Session**。 - 劫持用户身份。 - 重定向用户至恶意页面。 - 篡改页面内容。 📊 **数据风险**：高（C:H, I:H）。

🚪 **利用门槛**： - **无需认证**（PR:N）。 - **网络远程**（AV:N）。 - **低复杂度**（AC:L）。 - ⚠️ 需 **用户交互**（UI:R），即受害者需点击恶意链接或访问恶意页面。

📜 **Exp/PoC**：当前数据中 **pocs 为空**，暂无公开现成利用代码。 🌍 **在野利用**：未提及，但鉴于 CVSS 评分高，需警惕潜在利用。

🔎 **自查方法**： - 检查 AVideo 版本是否为 **14.4**。 - 审计代码中 `PlaylistOwnerUsersId` 参数的处理逻辑。 - 使用 **XSS 扫描器** 对该参数进行注入测试。

🛡️ **官方修复**：漏洞已公开（2025-07-24），建议立即联系 **WWBN** 获取官方补丁或升级至安全版本。

🚧 **临时规避**： - 实施 **WAF 规则**，过滤 `PlaylistOwnerUsersId` 中的脚本标签。 - 对用户输入进行严格的 **HTML 实体编码**。 - 启用 **HttpOnly** Cookie 属性，减少会话劫持风险。

⚡ **优先级**：**高**。 📈 **CVSS**：3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H（整体评分高，危害严重）。 💡 **建议**：尽快修复，特别是面向公众的视频平台。