CVE-2025-53084 — 神龙十问 AI 深度分析摘要

🚨 **本质**：WWBN AVideo 存在 **XSS（跨站脚本）** 漏洞。 📉 **后果**：攻击者可注入恶意 **JavaScript** 代码，导致用户浏览器执行非预期操作。

🔍 **CWE-79**：不正确的输入净化。 📍 **缺陷点**：`videosList` 页面参数未正确过滤，直接渲染用户输入。

🏢 **厂商**：WWBN。 📦 **产品**：AVideo 视频建站系统。 📌 **版本**：**14.4** 版本受影响。

🕵️ **权限**：需 **L (Low)** 权限（登录用户）。 💾 **数据**：可窃取 **Cookie/Session**，劫持用户身份，执行任意脚本。

🚧 **门槛**：中等。 🔑 **条件**：需 **PR:L**（低权限/登录）+ **UI:R**（用户交互）。 ⚠️ 攻击者需诱导受害者点击恶意链接。

📄 **PoC**：数据中 **pocs** 为空，暂无公开代码。 🌍 **在野**：暂无明确在野利用报告，但参考了 Talos 情报。

🔎 **自查**：检查 `videosList` 接口。 🧪 **测试**：注入 `<script>alert(1)</script>` 看是否弹窗。 🛠️ **工具**：使用 XSS 扫描器检测参数过滤情况。

🛡️ **补丁**：数据未提供具体补丁链接。 📅 **时间**：2025-07-24 发布。 💡 **建议**：联系 WWBN 获取官方修复版本或升级。

⚠️ **规避**： 1. 严格过滤 `videosList` 参数输入。 2. 启用 **CSP** (内容安全策略) 限制脚本执行。 3. 对用户输入进行 **HTML 实体编码**。

🔥 **优先级**：**高**。 📊 **CVSS**：**8.1 (High)**。 📝 **理由**：影响完整性(I:H)和机密性(C:H)，虽需用户交互，但危害大，需尽快修复。