CVE-2025-49553 — 神龙十问 AI 深度分析摘要

🚨 **本质**：DOM型跨站脚本 (XSS) 漏洞。<br>🔥 **后果**：攻击者可注入恶意脚本，在受害者浏览器中执行，导致会话劫持或数据窃取。

🔍 **CWE-79**：网页生成期间输入中和不当。<br>⚠️ **缺陷点**：未对用户输入进行充分 sanitization，导致恶意代码在 DOM 层面执行。

🏢 **厂商**：Adobe。<br>📦 **产品**：Adobe Connect。<br>📅 **版本**：12.9 及更早版本。

🕵️ **权限**：无需高权限，利用浏览器上下文。<br>💾 **数据**：可窃取 Cookie、会话令牌、敏感会议内容，实现完全客户端控制。

🚪 **门槛**：中等。<br>🔑 **条件**：无需认证 (PR:N)，但需要用户交互 (UI:R)。<br>📉 **难度**：攻击复杂度低 (AC:L)。

📂 **PoC**：GitHub 上有多个 PoC 仓库 (silentexploitexe, glitchhawks)。<br>🌍 **在野**：数据标注为“仅限私有”，暂无公开大规模在野利用报告。

🔎 **自查**：扫描 Adobe Connect 版本是否 ≤ 12.9。<br>🛡️ **检测**：监控输入中是否包含未转义的 `<script>` 或事件处理器 (如 `onerror`)。

🛠️ **官方**：Adobe 已发布安全公告 (APSB25-70)。<br>✅ **修复**：建议升级至修复后的最新版本。

🚧 **临时规避**：<br>1. 实施严格的 **CSP (内容安全策略)**。<br>2. 对用户输入进行严格的 **HTML 实体编码**。<br>3. 限制上传/输入区域的功能。

🔥 **优先级**：高。<br>⚡ **CVSS**：7.5 (高危)。<br>💡 **建议**：立即升级，因攻击无需认证且利用简单，风险极大。