关键信息 漏洞描述 发现时间:2025年3月22日 漏洞类型:XSS(跨站脚本攻击) 受影响系统:MikroTik的Wi-Fi Hotspot,基于RouterOS操作系统 漏洞细节 登录页面:存在一个隐藏的 输入字段。 请求示例: 成功登录后:用户被重定向到 参数的值。支持 协议。 利用方式 直接利用:通过构造特定URL触发XSS攻击。 确认最新版本易受攻击 测试环境:使用MikroTik Router和RouterOS配置热点。 确认结果:最新版本RouterOS仍存在该漏洞。 时间线 2025年3月22日:发现漏洞。 2025年3月27日:确认最新RouterOS版本易受攻击。 2025年3月27日:向MikroTik报告漏洞。 2025年3月28日:收到MikroTik的初步回复。 2025年3月31日:MikroTik确认漏洞。 2025年5月29日:漏洞在RouterOS测试版中修复。 2025年6月20日:漏洞在RouterOS稳定版中修复。 报告者 Robbe Verwilghen:2024年比利时“Hack the Government”挑战的“Ethical Government Hacker of the Year”,发现并报告了此漏洞。