漏洞关键信息 漏洞类型: 存储型脚本注入漏洞 (Stored/XSS) 报告ID: #3399218 CVE ID: CVE-2025-5266 报告时间: 2025-10-25, 4:42am UTC 披露时间: 2025-11-19, 9:32am UTC 严重性: 低 (2.7) 报告人: lu3ky-13 报告目标: Revive Adserver 漏洞描述 在 页面中,存在输入清理/编码问题。攻击者可以控制 和 字段的值,这些值被持久保存并在稍后呈现给页面时没有经过适当的输出编码。这使得攻击者能够执行持久的任意 JavaScript 代码,从而影响用户的浏览器,导致页面 UI 无法正常工作或完全替换页面内容(DOM 级服务拒绝攻击)。 证明概念 (PoC) 1. 访问 2. 在 和 字段中添加恶意负载 3. 这将导致整个网站无法使用 请求代码示例