CVE-2025-50128 — 神龙十问 AI 深度分析摘要

🚨 **本质**：WWBN AVideo 存在 **XSS（跨站脚本）** 漏洞。 💥 **后果**：攻击者可注入并执行 **任意 JavaScript 代码**，导致用户会话被劫持或页面被篡改。

🔍 **CWE**：CWE-79 (跨站脚本)。 📍 **缺陷点**：`videoNotFound` 错误页面中的 **`404ErrorMsg` 参数** 未对用户输入进行充分过滤或转义。

📦 **厂商**：WWBN。 🎬 **产品**：AVideo 视频建站系统。 ⚠️ **版本**：**14.4 版本** 受影响。

🕵️ **权限**：无需管理员权限，普通用户即可触发。 📊 **数据**：可窃取 **Cookie/Session**、读取页面内容、重定向用户或执行恶意操作。

🚪 **门槛**：**低**。 🔑 **认证**：无需认证 (PR:N)。 🖱️ **交互**：需用户点击或访问恶意链接 (UI:R)。 🌐 **网络**：远程利用 (AV:N)。

💣 **Exp/PoC**：当前数据中 **无现成 PoC** (pocs: [])。 🌍 **在野利用**：暂无公开在野利用报告，但风险已确认。

🔎 **自查**：检查 AVideo 版本是否为 **14.4**。 🧪 **测试**：构造包含恶意脚本的 `404ErrorMsg` 参数，观察是否执行 JS 代码。 📡 **扫描**：使用 WAF 或漏洞扫描器检测 XSS 特征。

🛠️ **补丁**：数据中 **未提供** 官方补丁链接或修复版本信息。 📅 **披露**：2025-07-24 公布，建议立即联系厂商获取更新。

🛡️ **临时规避**： 1. **输入过滤**：对 `404ErrorMsg` 参数进行严格的 **HTML 实体编码**。 2. **WAF 防护**：配置 WAF 规则拦截包含 `<script>` 等标签的请求。 3. **CSP**：部署 **内容安全策略 (CSP)** 限制脚本执行来源。

🔥 **优先级**：**高**。 📈 **CVSS**：**9.8** (Critical)。 ⚡ **建议**：立即升级版本或实施缓解措施，防止攻击者利用 XSS 进行进一步渗透。